مشکلی در مرورگر کروم شناسایی شده است که دادههای حساس به سرورهای Google ارسال میشوند، وقتی حالت پیشرفته غلطگیری املا، که شامل بررسی با استفاده از یک سرویس خارجی است، ارسال میشود. این مشکل همچنین در مرورگر Edge هنگام استفاده از افزونه Microsoft Editor ظاهر می شود.
معلوم شد که متن برای تأیید، از جمله، از فرمهای ورودی حاوی دادههای محرمانه، از جمله از فیلدهای حاوی نام کاربر، آدرس، ایمیل، دادههای گذرنامه و حتی رمز عبور منتقل میشود، در صورتی که فیلدهای ورودی رمز عبور توسط استاندارد محدود نشده باشد. برچسب " " به عنوان مثال، اگر گزینه نمایش رمز عبور وارد شده فعال باشد، این مشکل منجر به ارسال رمزهای عبور به سرور www.googleapis.com می شود که در Google Cloud (Secret Manager)، AWS (Secrets Manager)، Facebook، Office 365، Alibaba پیاده سازی شده است. خدمات Cloud و LastPass. از 30 سایت معروف مورد آزمایش، از جمله شبکههای اجتماعی، بانکها، پلتفرمهای ابری و فروشگاههای آنلاین، 29 سایت لو رفته بودند.
در AWS و LastPass، با افزودن پارامتر spellcheck=false به تگ “input”، مشکل به سرعت حل شده است. برای جلوگیری از ارسال دادهها در سمت کاربر، باید بررسی پیشرفته را در تنظیمات غیرفعال کنید (بخش «زبانها/بررسی املای/بررسی املای پیشرفته» یا «زبانها/املا بررسی/بررسی املای پیشرفته»؛ به طور پیشفرض، بررسی گسترده غیرفعال است).
منبع: opennet.ru