Google Chrome-utvikler oppfordrer programmerere til å iverksette tiltak mot bølgeproblemer

Google, LLC

Jake Archibald, Google Chromes advokatutvikler, har oppdaget en ganske alvorlig sårbarhet i moderne nettlesingsteknologi som kan tillate nettsteder å stjele påloggingsdetaljer i tillegg til annen sensitiv informasjon. Utnyttelser kan teoretisk stjele informasjon relatert til andre nettsteder du har logget på, men som ikke prøver å få tilgang til for øyeblikket.

Eksterne angripere kan hypotetisk til og med bruke dette sikkerhetsproblemet til å lese innholdet i e-posten du får tilgang fra et webgrensesnitt eller private innlegg sendt til deg på et sosialt nettverk.

Kryss-opprinnelsesforespørselsteknologi gir kjernen som sårbarheten kan bygges på i teorien. Moderne nettlesere tillater ikke nettsteder å sende forespørsler om opprinnelse fordi moderne ingeniører mener at det er få legitime grunner til at et nettsted ser på informasjon som blir gitt fra et annet.

Nettlesere er ikke så spesielle når det gjelder å hente andre typer mediefiler som er vert for utenforstående, siden denne typen forespørsel nødvendigvis er å laste inn lyd og video.

Nettstedskode har vanligvis lov til å laste inn lyd- og videofiler fra et annet domene uten å be en nettleser om å vise en uautorisert forespørselsfeil. Nettlesere kan også støtte noen typer rekkeviddeoverskrifter og delvis innholdsbelastningsresponser, som skal levere små biter av et større stykke streaming media.

Microsoft Edge, Mozilla Firefox og andre moderne nettlesere kan bli lurt til å laste inn uregelmessige forespørsler ved hjelp av denne metoden i henhold til Archibalds forskning. Disse nettleserne har vist seg å tillate testkopier av ugjennomsiktige data fra flere kilder til en sluttbruker.

For øyeblikket er det ingen kjente tilfeller av kjeks som bruker denne angrepsvektoren. Bølgingen, som Archibald kaller det, har allerede blitt rettet i Chrome og Safari uten egentlig å forsøke å gjøre det. Han uttalte at han ønsket at denne typen sikkerhetsfunksjoner ville blitt skrevet inn som en surfestandard, slik at alle moderne nettlesere ville være immun mot sårbarheten.

Selv om det ikke har kommet noen nyheter om at Microsoft eller Mozilla reagerer på feilen, er det ikke vanskelig å tro at oppdateringer vil bli utgitt med neste store oppdatering av begge disse nettleserne. Ingeniører kan også en dag presse på for at dette designet skal være standard slik Archibald ønsket.