Det er identifisert et problem i Chrome-nettleseren med sensitive data som sendes til Google-servere når den avanserte stavekontrollmodusen er aktivert, som innebærer å sjekke ved hjelp av en ekstern tjeneste. Problemet vises også i Edge-nettleseren når du bruker Microsoft Editor-tillegget.
Det viste seg at teksten for verifisering overføres blant annet fra inndataskjemaer som inneholder konfidensielle data, inkludert fra felt som inneholder brukernavn, adresser, e-post, passdata og til og med passord, hvis passordinntastingsfeltene ikke er begrenset av standarden "". For eksempel fører problemet til at passord sendes til www.googleapis.com-serveren hvis alternativet for å vise det angitte passordet er aktivert, implementert i Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba Sky- og LastPass-tjenester. Av de 30 kjente sidene som ble testet, inkludert sosiale nettverk, banker, skyplattformer og nettbutikker, ble 29 funnet å være lekket.
I AWS og LastPass er problemet allerede raskt løst ved å legge til "spellcheck=false"-parameteren til "input"-taggen. For å blokkere sending av data på brukersiden, bør du deaktivere avansert sjekk i innstillingene (seksjonen "Språk/Stavekontroll/Forbedret stavekontroll" eller "Språk/Stavekontroll/Forbedret stavekontroll", avansert sjekk er deaktivert som standard).
Kilde: opennet.ru