Logo nowadaytechnol.com

Google Chrome Developer Fordert Programmierer Dringend Auf, Maßnahmen Gegen Sicherheitslücken Zu Ergreifen

Google Chrome Developer Fordert Programmierer Dringend Auf, Maßnahmen Gegen Sicherheitslücken Zu Ergreifen
Google Chrome Developer Fordert Programmierer Dringend Auf, Maßnahmen Gegen Sicherheitslücken Zu Ergreifen

Video: Google Chrome Developer Fordert Programmierer Dringend Auf, Maßnahmen Gegen Sicherheitslücken Zu Ergreifen

Video: Google Chrome Developer Fordert Programmierer Dringend Auf, Maßnahmen Gegen Sicherheitslücken Zu Ergreifen
Video: Web Testing. Урок 3. Chrome Dev Tools. Вкладка «Network» 2024, März
Anonim
Image
Image

Jake Archibald, der Befürworter von Google Chrome, hat eine ziemlich schwerwiegende Sicherheitslücke in der modernen Webbrowser-Technologie entdeckt, die es Websites ermöglichen könnte, Anmeldedaten sowie andere vertrauliche Informationen zu stehlen. Exploits könnten theoretisch Informationen zu anderen Websites stehlen, bei denen Sie sich angemeldet haben, aber derzeit nicht versuchen, darauf zuzugreifen.

Remoteangreifer könnten diese Sicherheitsanfälligkeit hypothetisch sogar nutzen, um den Inhalt von E-Mails zu lesen, auf die Sie über die Weboberfläche oder private Beiträge zugreifen, die Sie auf Websites sozialer Netzwerke erhalten.

Die Cross-Origin-Anfragetechnologie liefert den Kern, auf dem die Sicherheitsanfälligkeit theoretisch aufbauen könnte. Moderne Browser erlauben es Websites nicht, originierungsübergreifende Anfragen zu stellen, da moderne Ingenieure der Ansicht sind, dass es nur wenige legitime Gründe gibt, warum eine Website Informationen von einer anderen Website anzeigt.

Webbrowser sind nicht so speziell, wenn es darum geht, andere Arten von Medifiles abzurufen, die auf externen Ursprüngen gehostet werden, da diese Art von Anforderung notwendigerweise das Laden von Audio- und Video-Streaming ist.

Der Site-Code darf im Allgemeinen Audio- und Videodateien aus anderen Domänen laden, ohne dass der Browser aufgefordert wird, einen nicht autorisierten Anforderungsfehler anzuzeigen. Browser unterstützen möglicherweise auch einige Arten von Antworten auf Bereichskopfzeilen und das teilweise Laden von Inhalten, die kleine Teile größerer Streaming-Medien liefern sollen.

Microsoft Arch, MozillFirefox und andere moderne Browser könnten laut Archibalds Forschungen dazu verleitet werden, unregelmäßige Anfragen mit dieser Methode zu laden. Es wurde gezeigt, dass diese Browser Testkopien von undurchsichtigen Daten von mehreren Quellen bis hin zu einem Endbenutzer ermöglichen.

Derzeit sind keine Fälle bekannt, in denen Cracker diesen Angriffsvektor verwenden. Wavethrough, wie Archibald es nennt, wurde bereits in Chrome und Safari korrigiert, ohne dies wirklich absichtlich zu versuchen. Er wünschte sich, diese Art von Sicherheitsfunktion wäre als Browsing-Standard geschrieben worden, damit alle modernen Browser gegen die Sicherheitsanfälligkeit immun wären.

Obwohl es keine Neuigkeiten über Microsoft oder Mozill gab, die dem Fehler entsprechen, ist es nicht schwer zu glauben, dass Patches mit dem nächsten größeren Update dieser beiden Browser veröffentlicht werden. Ingenieure könnten auch eines Tages darauf drängen, dass dieses Design Standard ist, wie Archibald es wünschte.

Empfohlen: