تم التعرف على مشكلة في متصفح Chrome حيث يتم إرسال البيانات الحساسة إلى خوادم Google عند تمكين وضع التدقيق الإملائي المتقدم، والذي يتضمن التحقق باستخدام خدمة خارجية. تظهر المشكلة أيضًا في متصفح Edge عند استخدام الوظيفة الإضافية Microsoft Editor.
اتضح أن نص التحقق يتم إرساله، من بين أمور أخرى، من نماذج الإدخال التي تحتوي على بيانات سرية، بما في ذلك من الحقول التي تحتوي على أسماء المستخدمين والعناوين والبريد الإلكتروني وبيانات جواز السفر وحتى كلمات المرور، إذا لم تكن حقول إدخال كلمة المرور مقيدة بالمعيار بطاقة شعار " " على سبيل المثال، تؤدي المشكلة إلى إرسال كلمات المرور إلى خادم www.googleapis.com إذا تم تمكين خيار إظهار كلمة المرور المدخلة، والذي تم تنفيذه في Google Cloud (Secret Manager)، وAWS (Secrets Manager)، وFacebook، وOffice 365، وAlibaba. الخدمات السحابية وLastPass. ومن بين 30 موقعًا معروفًا تم اختبارها، بما في ذلك الشبكات الاجتماعية والبنوك والمنصات السحابية والمتاجر عبر الإنترنت، تم اكتشاف 29 موقعًا مسربًا.
في AWS وLastPass، تم بالفعل حل المشكلة بسرعة عن طريق إضافة معلمة "التدقيق الإملائي = خطأ" إلى علامة "الإدخال". لمنع إرسال البيانات من جانب المستخدم، يجب عليك تعطيل التدقيق الإملائي المتقدم في الإعدادات (قسم "اللغات/التدقيق الإملائي/التدقيق الإملائي المحسن" أو "اللغات/التدقيق الإملائي/التدقيق الإملائي المحسن"، يتم تعطيل التدقيق المتقدم افتراضيًا).
المصدر: opennet.ru