Google Chrome-utvikler Oppfordrer Programmerere Til å Iverksette Tiltak Mot Bølgeproblemer

2023 Forfatter: Kayla Nelson | [email protected]. Sist endret: 2023-07-30 23:17

Jake Archibald, Google Chromes advokatutvikler, har oppdaget ganske alvorlig sårbarhet i moderne nettlesingsteknologi som kan tillate nettsteder å stjele påloggingsdetaljer i tillegg til annen sensitiv informasjon. Utnyttelser kan teoretisk stjele informasjon relatert til andre nettsteder du har logget på, men som ikke prøver å få tilgang til for øyeblikket.

Eksterne angripere kan hypotetisk til og med bruke dette sikkerhetsproblemet til å lese innholdet i e-posten du får tilgang fra webgrensesnitt eller private innlegg sendt til deg på sosiale nettverkssider.

Kryssopprinnelsesteknologi gir kjernen som sårbarheten kan bygges på i teorien. Moderne nettlesere tillater ikke nettsteder å komme med forespørsler om opprinnelse fordi moderne ingeniører mener at det er få legitime grunner til at et nettsted ser på informasjon som blir servert fra et annet.

Nettlesere er ikke så spesielle når det gjelder å hente andre typer medifiler som er vert for utenforstående opprinnelse, siden denne typen forespørsel nødvendigvis er å laste inn lyd og video.

Nettstedskode har vanligvis lov til å laste lyd- og videofiler fra et annet domene uten å be nettleseren om å vise en uautorisert forespørselsfeil. Nettlesere kan også støtte noen typer rekkeviddeoverskriftsresponser og delvis innholdsbelastningsresponser, som antas å levere små biter av større deler av streamingmedier.

Microsoft Edge, MozillFirefox og andre moderne nettlesere kan bli lurt til å laste inn uregelmessige forespørsler ved hjelp av denne metoden i henhold til Archibalds forskning. Det er vist at disse nettleserne tillater testkopier av ugjennomsiktig datakilde fra flere kilder til en sluttbruker.

For øyeblikket er det ingen kjente forekomster av kjeks som bruker denne angrepsvektoren. Bølgjennomgang, som Archibald kaller det, har allerede blitt rettet i Chrome og Safari uten egentlig målrettet å prøve å gjøre det. Han uttalte at han ønsket at denne typen sikkerhetsfunksjon ville blitt skrevet inn som surfestandard, slik at alle moderne nettlesere ville være immun mot sårbarheten.

Selv om det ikke har vært noen nyheter om Microsoft eller Mozill som svarer på feilen, er det ikke vanskelig å tro at oppdateringer vil bli utgitt med neste store oppdatering av begge disse nettleserne. Ingeniører kan også en dag presse på for at dette designet skal være standard slik Archibald ønsket.