Жума күнү otto-js изилдөө тобу колдонуучулар Google Chrome же орфографияны текшерүүнүн өркүндөтүлгөн функцияларын кантип колдонуп жатканы жөнүндө макала жарыялады. Microsoft Edge, билбестен үчүнчү тараптын булут серверлерине сырсөздөрдү жана жеке аныктоочу маалыматты (PII) өткөрүп бериши мүмкүн. Бул алсыздык орточо акыркы колдонуучунун жеке маалыматын гана тобокелге салбастан, уюмдун административдик дайындарын жана башка инфраструктурага тиешелүү маалыматты бөтөн адамдар үчүн корголбогондой калтырышы мүмкүн.
Алсыздыкты otto-js негиздөөчүлөрүнүн бири жана техникалык директору Джош Саммитт компаниянын скрипттик жүрүм-турумун аныктоо мүмкүнчүлүктөрүн сынап жатканда тапкан. Сыноо учурунда Самит жана otto-js командасы Chrome'дун өркүндөтүлгөн орфография текшергичиндеги же Edge'деги MS Editorдогу функциялардын туура айкалышы серверлерге кайра жөнөтүлгөндө PII жана башка купуя маалыматтарды камтыган талаа дайындарын байкабай ачыкка чыгарып салганын аныкташты. Microsoft жана Google. Эки функция тең колдонуучулардан аларды иштетүү үчүн ачык аракеттерди талап кылат жана иштетилгенден кийин, колдонуучулар алардын дайындары үчүнчү тараптар менен бөлүшүлүп жатканын билишпейт.
Талаа маалыматтарынан тышкары, otto-js командасы колдонуучулардын сырсөздөрүн сырсөздү көрүүчү опциясы аркылуу ачыкка чыгарса болорун аныкташкан. Колдонуучуларга сырсөздөрдү туура эмес киргизүүдөн сактанууга жардам бере турган бул параметр орфографияны текшерүүнүн өркүндөтүлгөн функциялары аркылуу үчүнчү тараптын серверлерине сырсөздү байкабай ачыкка чыгарат.
Жеке колдонуучулар коркунучка кабылган жалгыз тарап эмес. Алсыздык корпоративдик эсептик дайындардын уруксатсыз үчүнчү жактар тарабынан бузулушуна алып келиши мүмкүн. otto-js командасы булут кызматтарына жана инфраструктуралык каттоо эсептерине кирген колдонуучулар кантип билбестен эсептик дайындарын серверлерге өткөрүп бере аларын көрсөткөн төмөнкү мисалдарды келтирди. Microsoft же Google.
Биринчи сүрөт (жогоруда) Alibaba Cloud эсебине кирүүнүн мисалын көрсөтөт. Chrome аркылуу киргениңизде, өркүндөтүлгөн орфографияны текшерүү функциясы администратордун уруксатысыз Google серверлерине суроо маалыматын жөнөтөт. Скриншоттон (төмөндө) көрүнүп тургандай, бул маалымат компаниянын булутуна кирүү үчүн киргизилген чыныгы сырсөздү камтыйт. Мындай маалыматка жетүү корпоративдик жана кардарлардын маалыматтарын уурдоодон баштап, маанилүү инфраструктураны толук компромисске чейин алып келиши мүмкүн.
Otto-js командасы социалдык медиага, кеңсе куралдарына, саламаттыкты сактоого, өкмөткө, электрондук коммерцияга жана банк/финансылык кызматтарга багытталган тестирлөө жана талдоо жүргүздү. Сыналган 96 контролдук топтун 30% дан ашыгы маалыматтарды кайра жөнөтүштү Microsoft жана Google. Сыналган сайттардын жана топтордун 73% параметр тандалганда үчүнчү тараптын серверлерине сырсөздөрдү жөнөтүшкөн Сыр сөздү көрсөтүү. Сырсөздөрдү жөнөтпөгөн сайттарда жана кызматтарда жөн эле өзгөчөлүк болгон эмес Сыр сөздү көрсөтүү жана сөзсүз түрдө тийиштүү түрдө корголгон эмес.
Отто-js коллективи байланышты Microsoft 365, Alibaba Cloud, Google Cloud, AWS жана LastPass, алар корпоративдик кардарлар үчүн эң чоң коркунуч туудурган эң мыкты беш сайттар жана булут кызмат көрсөтүүчүлөрү. Компаниянын коопсуздук жаңыртууларына ылайык, AWS жана LastPass буга чейин жооп берип, маселе ийгиликтүү чечилгенин кабарлашты.
Сиз Украинага орус баскынчыларына каршы күрөшүүгө жардам бере аласыз. Мунун эң жакшы жолу - Украинанын Куралдуу күчтөрүнө каражат берүү Savelife же расмий баракчасы аркылуу NBU.
Ошондой эле окуңуз:
Тынч болуңуз, Firefoxту колдонуңуз
+