Google, LLC
Si Jake Archibald, tagataguyod ng tagabuo ng Google Chrome, ay natuklasan ang isang medyo seryosong kahinaan sa modernong teknolohiya sa pagba-browse sa web na maaaring pahintulutan ang mga site na magnakaw ng mga detalye sa pag-login pati na rin ang ibang sensitibong impormasyon. Ang mga exploit ay maaaring magnakaw ng impormasyong nauugnay sa iba pang mga site na iyong na-log in ngunit hindi kasalukuyang sumusubok na mag-access.
Ang mga malalayong umaatake ay maaaring gamitin kahit paano ang kahinaan na ito upang basahin ang nilalaman ng email na na-access mo mula sa isang web interface o pribadong mga post na ipinadala sa iyo sa isang mga social networking site.
Ang teknolohiyang kahilingan sa cross-origin ay nagbibigay ng core na maaaring maitayo sa teorya ang kahinaan. Hindi pinapayagan ng mga modernong browser ang mga site na gumawa ng mga kahilingan na cross-origin dahil naniniwala ang mga modernong inhinyero na may ilang mga lehitimong dahilan para sa isang site na tumingin sa impormasyong inihatid mula sa iba pa.
Ang mga web browser ay hindi gaanong partikular pagdating sa pagkuha ng iba pang mga uri ng mga file ng media na naka-host sa mga pinagmulan sa labas dahil ang ganitong uri ng kahilingan ay kinakailangang mag-load ng streaming audio at video.
Pinapayagan ang site code na mag-load ng mga file ng audio at video mula sa ibang domain nang hindi hinihimok ang isang browser na magpakita ng isang hindi pinahintulutang error sa paghiling. Maaari ring suportahan ng mga browser ang ilang uri ng saklaw na header at bahagyang mga tugon sa pag-load ng nilalaman, na dapat maghatid ng maliliit na piraso ng isang mas malaking piraso ng streaming media.
Ang Microsoft Edge, Mozilla Firefox at iba pang mga modernong browser ay maaaring linlangin sa paglo-load ng mga hindi regular na kahilingan gamit ang pamamaraang ito ayon sa pagsasaliksik ni Archibald. Ang mga browser na ito ay ipinakita upang pahintulutan ang mga kopya ng pagsubok ng opaque data mula sa maraming mga mapagkukunan sa pamamagitan ng isang end-user.
Sa kasalukuyan walang anumang mga kilalang pagkakataon ng mga crackers na gumagamit ng vector ng pag-atake na ito. Ang Wavethrough, tulad ng tawag dito sa Archibald, ay naitama na sa Chrome at Safari nang hindi talaga sinasadyang gawin ito. Sinabi niya na hinahangad niya na ang ganitong uri ng tampok sa seguridad ay maisulat bilang isang pamantayan sa pagba-browse upang ang lahat ng mga modernong browser ay maiiwasan sa kahinaan.
Habang walang anumang balita tungkol sa pagtugon ng Microsoft o Mozilla sa bug, hindi mahirap paniwalaan na ang mga patch ay ilalabas sa susunod na pangunahing pag-update ng pareho sa mga browser na ito. Ang mga inhinyero ay maaari ring magtulak sa isang araw na disenyo na ito upang maging pamantayan ayon sa hinahangad ni Archibald.
Mga tag Google Chrome seguridad sa web
