Im Chrome-Browser wurde ein Problem festgestellt, bei dem vertrauliche Daten an Google-Server gesendet werden, wenn der erweiterte Rechtschreibprüfungsmodus aktiviert ist, der die Prüfung mithilfe eines externen Dienstes erfordert. Das Problem tritt auch im Edge-Browser auf, wenn das Microsoft Editor-Add-on verwendet wird.
Es stellte sich heraus, dass der Text zur Überprüfung unter anderem aus Eingabeformularen mit vertraulichen Daten übermittelt wird, darunter aus Feldern mit Benutzernamen, Adressen, E-Mail-Adressen, Passdaten und sogar Passwörtern, sofern die Passworteingabefelder nicht durch den Standard eingeschränkt sind Etikett " " Das Problem führt beispielsweise dazu, dass Passwörter an den Server www.googleapis.com gesendet werden, wenn die Option zur Anzeige des eingegebenen Passworts aktiviert ist, implementiert in Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba Cloud- und LastPass-Dienste. Von den 30 getesteten bekannten Websites, darunter soziale Netzwerke, Banken, Cloud-Plattformen und Online-Shops, wurden 29 als durchgesickert eingestuft.
In AWS und LastPass wurde das Problem bereits schnell gelöst, indem der Parameter „spellcheck=false“ zum Tag „input“ hinzugefügt wurde. Um das Senden von Daten auf Benutzerseite zu blockieren, sollten Sie die erweiterte Prüfung in den Einstellungen deaktivieren (Abschnitt „Sprachen/Rechtschreibprüfung/Erweiterte Rechtschreibprüfung“ oder „Sprachen/Rechtschreibprüfung/Erweiterte Rechtschreibprüfung“, die erweiterte Prüfung ist standardmäßig deaktiviert).
Source: opennet.ru