За последние пять лет пользователи 43 раза сообщили Google о наличии в браузере Google Chrome «уязвимости», которая на самом деле является легитимной функцией.
Функция присутствует в инструментах разработчика в браузере Chrome и позволяет пользователю заменить звездочки в поле пароля на обычный текст. Для этого пользователю необходимо найти код поля пароля с помощью инструментов разработчика и заменить атрибут type со значения password на значение text.
Инженеры Google в шутку назвали подобные сообщения об уязвимости «кражей собственного пароля». По словам сотрудников Google, большое количество сообщений о проблеме связано с недостаточным знанием механизмов работы Chrome, в частности того, как браузер обрабатывает введенные пароли.
«Одними из наиболее частых отчетов об уязвимостях, которые мы получаем, является раскрытие пароля с использованием функции “Элемент проверки”. Люди думают: «если я могу увидеть пароль, то это уязвимость», однако это не так. Причина, по которой пароль маскируется звездочками, заключается в предотвращении раскрытия информации злоумышленником, подсматривающим за пользователем через плечо, а не потому, что это секрет, неизвестный браузеру. Браузер знает пароль на многих уровнях, включая JavaScript, инструменты разработчика, память процесса и пр. Если вы физически работаете на компьютере, у вас есть и всегда будут инструменты для извлечения пароля в браузере», - пояснили разработчики Chrome.
Для эксплуатации данной «уязвимости» требуется, чтобы злоумышленник физически работал за компьютером пользователя и при этом получил доступ к браузеру. «При подобных обстоятельствах возможность убрать звездочки в поле браузера будет наименьшей проблемой жертвы», - добавили инженеры Google.
Читайте также
Последние новости