Chrome 瀏覽器中已發現一個問題,當啟用進階拼字檢查模式時,敏感資料會傳送到 Google 伺服器,這涉及使用外部服務進行檢查。使用 Microsoft 編輯器附加元件時,此問題也會出現在 Edge 瀏覽器中。
事實證明,用於驗證的文字除其他外,是從包含機密資料的輸入表單傳輸的,包括從包含使用者名稱、地址、電子郵件、護照資料甚至密碼的欄位(如果密碼輸入欄位不受標準限制) “”。例如,如果啟用了顯示輸入密碼的選項(在Google Cloud (Secret Manager)、AWS (Secrets Manager)、Facebook、Office 365、阿里巴巴中實作),則該問題會導緻密碼傳送到www.googleapis.com伺服器雲端和 LastPass 服務。在接受測試的 30 個知名網站(包括社交網路、銀行、雲端平台和線上商店)中,有 29 個被發現有外洩。
在AWS和LastPass中,透過在「input」標籤中新增「spellcheck=false」參數,該問題已快速解決。要阻止用戶端發送數據,您應該在設定中停用進階檢查(「語言/拼字檢查/增強拼字檢查」或「語言/拼字檢查/增強拼字檢查」部分,預設會停用進階檢查)。
來源: opennet.ru