В Chrome выявлена утечка паролей из полей с предпросмотром скрытого ввода

В браузере Chrome выявлена проблема с отправкой конфиденциальных данных на серверы Google при включении расширенного режима проверки правописания, подразумевающего выполнение проверки с использованием внешнего сервиса. Проблема также проявляется в браузере Edge при использовании дополнения Microsoft Editor.

Оказалось, что текст для проверки передаётся в том числе из форм ввода, содержащих конфиденциальные данные, в том числе из полей содержащих имена пользователей, адреса, email, паспортные данные и даже пароли, в случае если поля ввода паролей не ограничены штатным тегом «<input type=password>». Например, проблема приводит к отправке на сервер www.googleapis.com паролей в случае включение опции для показа введённого пароля, реализованной в сервисах Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba Cloud и LastPass. Из 30 протестированных известных сайтов, включая социальные сети, банки, облачные платформы и интернет-магазины, 29 оказались подвержены утечке.

В AWS и LastPass проблема уже оперативно решена через добавление параметра «spellcheck=false» в тег «input». Для блокирования отправки данных на стороне пользователя следует отключить в настройках расширенную проверку (секция «Languages/Spell check/Enhanced spell check» или «Языки/Проверка правописания/Расширенная проверка», по умолчанию расширенная проверка отключена).

1

Источник: opennet.ru