Google, LLC
Google Chrome’un savunucu geliştiricisi Jake Archibald, modern web tarama teknolojisinde sitelerin diğer hassas bilgilerin yanı sıra oturum açma ayrıntılarını da çalmasına izin verebilecek oldukça ciddi bir güvenlik açığı keşfetti. Açıklardan yararlanma girişimleri, oturum açtığınız ancak şu anda erişmeye çalışmadığınız diğer sitelerle ilgili bilgileri teorik olarak çalabilir.
Uzaktaki saldırganlar varsayımsal olarak bu güvenlik açığını bir web arayüzünden eriştiğiniz e-postaların içeriğini veya bir sosyal ağ sitelerinde size gönderilen özel yayınları okumak için bile kullanabilir.
Çapraz kaynaklı istek teknolojisi, güvenlik açığının teoride üzerine inşa edilebileceği çekirdeği sağlar. Modern tarayıcılar, sitelerin çapraz kaynaklı isteklerde bulunmasına izin vermez çünkü modern mühendisler, bir sitenin diğerinden sunulan bilgilere bakması için çok az meşru neden olduğuna inanır.
Dış kaynaklarda barındırılan diğer medya dosyası türlerini getirme söz konusu olduğunda web tarayıcıları o kadar özel değildir, çünkü bu tür bir istek mutlaka akışlı ses ve videoyu yüklemek içindir.
Site kodunun, bir tarayıcıdan yetkisiz bir istek hatası görüntülemesini istemeden diğer etki alanından ses ve video dosyaları yüklemesine genellikle izin verilir. Tarayıcılar ayrıca, daha büyük bir akış medyasının küçük parçalarını sunması beklenen bazı aralık başlığı türlerini ve kısmi içerik yükleme yanıtlarını da destekleyebilir.
Archibald’ın araştırmasına göre Microsoft Edge, Mozilla Firefox ve diğer modern tarayıcılar bu yöntemi kullanarak düzensiz istekleri yüklemeye kandırılabilir. Bu tarayıcıların, opak verilerin test kopyalarına birden çok kaynaktan bir son kullanıcıya kadar izin verdiği gösterilmiştir.
Şu anda bu saldırı vektörünü kullanan bilinen herhangi bir kraker örneği yoktur. Archibald'ın dediği gibi Wavethrough, gerçekten bilerek yapmaya çalışmadan Chrome ve Safari'de zaten düzeltildi. Bu tür bir güvenlik özelliğinin bir tarama standardı olarak yazılmasını, böylece tüm modern tarayıcıların güvenlik açığından etkilenmemesini dilediğini belirtti.
Microsoft veya Mozilla ile ilgili hataya yanıt veren herhangi bir haber olmamasına rağmen, yamaların bu iki tarayıcının bir sonraki büyük güncellemesiyle yayınlanacağına inanmak zor değil. Mühendisler ayrıca bir gün bu tasarımın Archibald'ın istediği gibi standart olması için baskı yapabilirler.
Etiketler Google Chrome web güvenliği
