Chrome 浏览器中已发现一个问题,当启用高级拼写检查模式时,敏感数据会发送到 Google 服务器,这涉及使用外部服务进行检查。 使用 Microsoft 编辑器附加组件时,该问题也会出现在 Edge 浏览器中。
事实证明,用于验证的文本除其他外,是从包含机密数据的输入表单传输的,包括从包含用户名、地址、电子邮件、护照数据甚至密码的字段(如果密码输入字段不受标准限制)标签 ” ” 例如,如果启用了显示输入密码的选项(在 Google Cloud (Secret Manager)、AWS (Secrets Manager)、Facebook、Office 365、阿里巴巴中实现),则该问题会导致密码被发送到 www.googleapis.com 服务器云和 LastPass 服务。 在接受测试的 30 个知名网站(包括社交网络、银行、云平台和在线商店)中,有 29 个被发现存在泄露。
在AWS和LastPass中,通过在“input”标签中添加“spellcheck=false”参数,该问题已经得到快速解决。 要阻止用户端发送数据,您应该在设置中禁用高级检查(“语言/拼写检查/增强拼写检查”或“语言/拼写检查/增强拼写检查”部分,默认情况下禁用高级检查)。
来源: opennet.ru