У браўзэры Chrome выяўлена праблема з адпраўкай канфідэнцыйных дадзеных на серверы Google пры ўключэнні пашыранага рэжыму праверкі правапісу, які прадугледжвае выкананне праверкі з выкарыстаннем знешняга сэрвісу. Праблема таксама выяўляецца ў браўзэры Edge пры выкарыстанні дадатку Microsoft Editor.
Аказалася, што тэкст для праверкі перадаецца ў тым ліку з формаў уводу, якія змяшчаюць канфідэнцыйныя дадзеныя, у тым ліку з палёў змяшчаюць імёны карыстальнікаў, адрасы, email, пашпартныя дадзеныя і нават паролі, у выпадку калі палі ўводу пароляў не абмежаваныя штатным тэгам. ». Напрыклад, праблема прыводзіць да адпраўкі на сервер www.googleapis.com пароляў у выпадку ўключэння опцыі для паказу ўведзенага пароля, рэалізаванай у сэрвісах Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba Cloud і LastPass. З 30 пратэставаных вядомых сайтаў, уключаючы сацыяльныя сеткі, банкі, хмарныя платформы і інтэрнэт-крамы, 29 падвергліся ўцечцы.
У AWS і LastPass праблема ўжо аператыўна вырашана праз даданне параметра "spellcheck = false" у тэг "input". Для блакавання адпраўкі дадзеных на баку карыстальніка варта адключыць у наладах пашыраную праверку (секцыя "Languages/Spell check/Enhanced spell check" або "Мовы/Праверка правапісу/Пашыраная праверка", па змаўчанні пашыраная праверка адключаная).
Крыніца: opennet.ru