V prohlížeči Chrome byl zjištěn problém s odesíláním citlivých dat na servery Google, když je povolen pokročilý režim kontroly pravopisu, který zahrnuje kontrolu pomocí externí služby. Problém se objevuje i v prohlížeči Edge při použití doplňku Microsoft Editor.
Ukázalo se, že text pro ověření se přenáší mimo jiné ze vstupních formulářů obsahujících důvěrné údaje, včetně polí obsahujících uživatelská jména, adresy, e-mail, údaje o pasech a dokonce i hesla, pokud pole pro zadání hesla nejsou omezena normou štítek " " Problém například vede k odesílání hesel na server www.googleapis.com, pokud je povolena možnost zobrazení zadaného hesla, implementováno v Google Cloud (Secret Manager), AWS (Secret Manager), Facebook, Office 365, Alibaba Cloudové a LastPass služby. Z 30 testovaných známých stránek, včetně sociálních sítí, bank, cloudových platforem a internetových obchodů, bylo 29 zjištěno, že uniklo.
V AWS a LastPass byl problém již rychle vyřešen přidáním parametru „spellcheck=false“ do tagu „input“. Chcete-li zablokovat odesílání dat na straně uživatele, měli byste v nastavení deaktivovat pokročilou kontrolu (sekce „Jazyky/Kontrola pravopisu/Rozšířená kontrola pravopisu“ nebo „Jazyky/Kontrola pravopisu/Vylepšená kontrola pravopisu“, pokročilá kontrola je ve výchozím nastavení zakázána).
Zdroj: opennet.ru