The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Chrome выявлена утечка паролей из полей с предпросмотром скрытого ввода

18.09.2022 08:33

В браузере Chrome выявлена проблема с отправкой конфиденциальных данных на серверы Google при включении расширенного режима проверки правописания, подразумевающего выполнение проверки с использованием внешнего сервиса. Проблема также проявляется в браузере Edge при использовании дополнения Microsoft Editor.

Оказалось, что текст для проверки передаётся также и из форм ввода, содержащих конфиденциальные данные, в том числе из полей, содержащих имена пользователей, адреса, email, паспортные данные и даже пароли, в случае если поля ввода паролей не ограничены штатным тегом "<input type=password>". Например, проблема приводит к отправке на сервер www.googleapis.com паролей в случае включения опции для показа введённого пароля, реализованной в сервисах Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba Cloud и LastPass. Из 30 протестированных известных сайтов, включая социальные сети, банки, облачные платформы и интернет-магазины, 29 оказались подвержены утечке.

В AWS и LastPass проблема уже оперативно решена через добавление параметра "spellcheck=false" в тег "input". Для блокирования отправки данных на стороне пользователя следует отключить в настройках расширенную проверку (секция "Languages/Spell check/Enhanced spell check" или "Языки/Проверка правописания/Расширенная проверка", по умолчанию расширенная проверка отключена).

1


  1. Главная ссылка к новости (https://www.otto-js.com/news/a...)
  2. OpenNews: Утечка хэшей паролей Whois-сервиса интернет-регистратора APNIC
  3. OpenNews: Демонстрация атаки на редакторы кода, приводящей к утечке файлов при открытии исходных текстов
  4. OpenNews: В Brave выявлена утечка через DNS сведений об открываемых в Tor-режиме onion-сайтах
  5. OpenNews: Утечка поисковых ключей через DNS в Firefox и Chrome
  6. OpenNews: В Chrome внесено изменение, допускающее запись в буфер обмена без действий пользователя
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57798-chrome
Ключевые слова: chrome, privacy
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (122) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:01, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Любой сторонний плагин может проверять на странице что угодно. Тоже мне уязвимость.  
     
     
  • 2.3, Аноним (3), 09:09, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Любой сторонний плагин может проверять на странице что угодно. Тоже мне уязвимость.

    Речь не о плагине, а о штатной функциональности Chrome. Благо, что она не включена по умолчанию.

     
     
  • 3.21, аннонимус (?), 10:43, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Который нужно включить ручками
    И в описании прямо написано "отправляем ан сервра гугл"
     
     
  • 4.79, penetrator (?), 18:09, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    но не input type=password
     
     
  • 5.112, Diozan (ok), 08:25, 19/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я так понял, что поле перестаёт быть input type="password", если стоит опция "показать пароль"...
     
  • 3.22, Аноним (22), 10:45, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Т.е. точно такая же уязвимость в любом плагине от любого Васяна это норм. А данные которые передаются самому гуглу при том что он скорее всего не злоумышленник это кошмар?

     
     
  • 4.39, Аноним (39), 11:24, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Плагинам от Васяна изначально нет никакого доверия, их ставят только такие же Васяны. А вот проверка Гуглом правописания паролей - это ***дец!
     
     
  • 5.47, Бывалый смузихлёб (?), 12:29, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А вдруг ты в пароле опечатку допустишь. Непорядок!
     
     
  • 6.80, penetrator (?), 18:10, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    qwerty1245 вместо qwerty1234
     
  • 5.48, Аноним (48), 12:31, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что гугл сделает с твоим паролем объясни пне плз. Тем более что он уже 15 лет итак их собирает.
     
     
  • 6.59, Аноним (39), 13:44, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если ваша деятельность заинтересует компетентные американские органы, то сделает всё, что скажет товарищ Майор.
     
     
  • 7.90, Аноним (90), 19:40, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Только АМЕРИКАНСКИЙ "товарищ майор" вломится к тебе разве что в кошмарах .
     
     
  • 8.94, Аноним (94), 20:12, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот придёшь ты на какой-нибудь очередной комикон или и3, а там тебя раз под ручк... текст свёрнут, показать
     
     
  • 9.95, Аноним (95), 20:37, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так не придёт, россиянам визы не дают Чего ему волноваться ... текст свёрнут, показать
     
  • 9.97, Аноним (90), 20:54, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Кого можно повязать на комиконе - по комиконам не катаются А солсберецких и бе... текст свёрнут, показать
     
  • 8.109, Kusb (?), 00:24, 19/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Власть развращает Всё что нарушает баланс государство общество - плохо Я менее... текст свёрнут, показать
     
  • 5.51, Рмшъ (?), 12:41, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Будто к гуглу изначально есть доверие
     
  • 5.56, Аноним (56), 13:11, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Как там поживают блокировщики рекламы, плагины "отключения слежки" и подобные?
    Это плагины не от всянов и к ним есть доверие или они в links не работают?
     
     
  • 6.60, Аноним (39), 13:47, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Как там поживают блокировщики рекламы, плагины "отключения слежки" и подобные?

    Понятия не имею. У меня только uBlock Origin.

     
     
  • 7.67, Аноним (67), 15:19, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ubo не от Васяна?
     
     
  • 8.70, Аноним (56), 15:43, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    uBlock Origin от доверенного человека с хорошей репутацией, которому можно довер... текст свёрнут, показать
     
     
  • 9.71, Аноним (56), 15:44, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    С из зонтированной проверкой орфографии ... текст свёрнут, показать
     
     
  • 10.85, Аноним (67), 18:52, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Понятно Так и запишем Васян Хиллс - хороший, годный Васян, проверенный лично ... текст свёрнут, показать
     
  • 9.100, Аноним (100), 22:29, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Сарказм, ирония ... текст свёрнут, показать
     
  • 8.113, Аноним (113), 09:04, 19/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    От Васяна, но от Васяна известного и опенсорс ... текст свёрнут, показать
     
     
  • 9.116, Аноним (116), 10:05, 19/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Чем он лучше гугла ты наконец можешь объяснить ... текст свёрнут, показать
     
     
  • 10.129, Аноним (113), 17:23, 19/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тем, что не отсылает твои пароли на свои сервера ... текст свёрнут, показать
     
  • 5.87, Bob (??), 19:10, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    1) Тот кто юзает гугл в 95% юзает и менеджер паролей от оного
    2) проверка всего текста гуглом, кроме паролей, норм значит, да?)
    3) Гугл. Доверие. Бхахаха)
     
     
  • 6.122, username (??), 11:18, 19/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Тот кто юзает гугл в 95% юзает и менеджер паролей от оного

    а менеджер паролей включается автоматически? вроде спрашивает... или нет? и разве это нельзя отключить одной в настройках?

     
  • 5.91, Аноним (91), 19:57, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Честно говоря васяну я больше доверяю чем гуглу. С последнего хоть спросить можно, иногда даже найти его, в крайнем случае публично унизить в интернете. С гуглом такое не пройдёт - он может и творит любую дичь и это прокатывает (тот же манифест v3 уже практически скушали)
     
     
  • 6.92, Аноним (91), 19:58, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    *с васяна хоть
     
  • 6.114, Аноним (113), 09:08, 19/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Честно говоря васяну я больше доверяю чем гуглу. С последнего хоть спросить можно, иногда даже найти его, в крайнем случае публично унизить в интернете.

    В магазине Гугла почти ежедневно находят вредоносные программы. Вперёд! Отомсти за нас!

     

  • 1.4, Вован (??), 09:10, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    Как же я люблю новые модные облачные технологии. Непонятно что постоянно отравляется непонятно куда и ты не знаешь, не понимаешь и не контролируешь. Вот мне интересно, неужели нельзя было реализовать это локально? У меня же какой-то там ворд ещё на 98 винде мог выполнить эту задачу. В целом понятно, удобно когда у тебя АПИ на твой стороне и ты его можешь в любой момент обновить или исправить бажек. Но всё таки в трусы то к людям уж лучше бы не лезть. А ещё неизвестно на сколько случайно этот баг в святом гугле появился, и никто никто, правда правда кроме гугла гугла эти данные не видел.
     
     
  • 2.10, Ананоним (?), 09:48, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Можно и локально, но им не нужно. Цель как раз в том, что бы получать данные от пользователей.
     
     
  • 3.16, Аноним (56), 10:20, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Поражает гениальность местных экспертов, которые сразу разгадали план ИХ
     
     
  • 4.17, Ананоним (?), 10:24, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Для тебя сработает сказочка что от облака проверки правописания офис у НИХ обогревается, и без пользовательской инфы не выходит подходящая для нагреву нагрузка на процессоры.
     
  • 4.36, YetAnotherOnanym (ok), 11:09, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Для этого гениальность не нужна. Для этого достаточно примерно тех же умственных способностей, какие нужны для защиты гугла на ресурсах IT-тематики.
     
     
  • 5.49, Аноним (48), 12:32, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Он больше 10 лет собирают так пароли что от этого плохого произошло?
     
     
  • 6.83, соевыемозгиихорошийгугол (?), 18:14, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    лол. opennet уже больше 10 лет существует. давай ссылку на снимок паспорта, банковских карт и это.. адрес и телефон пиши. обещаю: ничего плохого с тобой не произойдёт
     
  • 6.93, Аноним (91), 20:00, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я.еда тоже не первый год существует и некоторые люди до сих пор не в курсе утечек. Для них тоже ничего плохого не произошло.
     
  • 2.13, Аноним (56), 10:17, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В хроме есть локальная проверка
     
  • 2.18, Аноним (18), 10:28, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ты взгляни, а программисты ли принимают решение так программировать? В чем суть обновляться, если ничего не исправляют, а ещё больше вредят. Неужели эти мегабайты хуже любой операционки?
     
  • 2.23, Аноним (22), 10:45, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И как ты без данных собрался свою нейросеть обучать?
     
     
  • 3.30, Вован (??), 11:00, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Как же ворд на 98 винде работал? А опера дохоомовская?
     
     
  • 4.37, Аноним (22), 11:13, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Без нейросети.
     
     
  • 5.41, хрю (?), 11:39, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>Без нейросети.

    И зачем "нейросети" для проверки правописания?

     
  • 5.50, Бывалый смузихлёб (?), 12:37, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И как знание нейросетью что «жи-ши пишется через И» или «суффиксы ан, ян, ин - пишется с одной Н»( таких слов будет абсолютное большинство кроме совершенно конкретных исключений ) поможет не допустить ошибку в написании слова «телек» или даже корректно обработать слова-исключения ?

    Это ведь не распознавание образов или даже рукописного текста.

    Есть конкретные правила языка, есть слова-исключения, есть часть ненормативных слов, есть возможность пользователя добавить новые слова.
    Хотя можно было бы прикрутить простые и удобные способы поделиться наработанными словарями или правилами или самому их где-нибудь стянуть и просто добавить к своим

     
     
  • 6.57, Аноним (56), 13:15, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Добавь словарь в hunspell, или что там хром использует для локальной проверки, и не не страдай
     
  • 2.88, Bob (??), 19:19, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Как же я люблю всяких вованов в интернете и их копрофильские копипасты -- Мож... большой текст свёрнут, показать
     
     
  • 3.96, Аноним (95), 20:50, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Использую гугл хром чтобы писать письма клиентам со своего gmail for business в их gmail for business, с проверкой орфографии через гугл, запускаю код в клиентских gcp аккаунтах, пароли от которых храню в мастере паролей гугл хрома. В чём проблема конкретно?
     
     
  • 4.137, Ананоним (?), 02:03, 24/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Использую гугл хром чтобы писать письма клиентам со своего gmail for business
    > в их gmail for business, с проверкой орфографии через гугл, запускаю
    > код в клиентских gcp аккаунтах, пароли от которых храню в мастере
    > паролей гугл хрома. В чём проблема конкретно?

    Ну, это нормально! У меня есть знакомый, который по телефону руками клиента по почте их бухгалтерские базы данных в архиве незапороленном себе на отладку высылает. Никто не возмущается. Специалист сказал, они сделали. Скажет удалить базу данных по телефону, удалят. Ну специалист же.

     
  • 3.127, Аноним (127), 14:56, 19/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Как же я люблю всяких вованов в интернете и их копрофильские копипасты

    Васянов же! Или копрофилия это к Вованам?

    Золотые слова о дефективности рассмотрения вопроса о  приватности в связке с Гугл. Это действительно странные надежды.

     

  • 1.7, Аноним (-), 09:39, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вообще слежка через спелчекеры это классика если кто не в курсе.
     
     
  • 2.8, Аноним (8), 09:41, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Баян?
     
     
  • 3.11, Аноним (-), 09:55, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Не употребяю тащьмайор !
     
  • 2.32, Аноним (32), 11:06, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну расскажи мне про слежку через hunspell. Необходимость проверки орфографии в полях паролей очевидна - если поле содержит слово из естественного языка, то пароль заведомо ослабленный.
     
     
  • 3.38, Аноним (22), 11:14, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Как ты узнаешь где больше ошибаются и какие новые слова есть?
     
  • 3.55, Аноним (55), 13:10, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Необходимость проверки орфографии в полях паролей очевидна - если поле содержит слово из естественного языка, то пароль заведомо ослабленный.

    FYI, пароли Diceware состоят преимущественно (или, в зависимости от используемого списка, даже только) из словарных слов и слабыми не являются.

     
  • 3.72, ist (?), 15:48, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >>> если поле содержит слово из естественного языка, то пароль заведомо ослабленный.

    Десять случайных слов - это ослабленный пароль?

     

  • 1.9, Аноним (9), 09:43, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Спасибо за проверку правописания вашего пароля. Пароль верный, мы проверяли.
     
  • 1.12, Аноним (56), 10:15, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В форме же не написано конфиденциальные данные там или нет и в браузере нет "сильного ИИ" чтобы понять это.
    Если пароль хранится не в <input type="password" /> а в чем то другом то логично что оно его отправляет, проверяться
    Оно так и должно работать
     
     
  • 2.24, Аноним (22), 10:48, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    У тебя Стокгольмский синдром на максималках:
     
     
  • 3.29, Аноним (56), 10:59, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    У тебя синдром Да́ннинга — Крю́гера на максималках.
     
  • 2.25, Вован (??), 10:50, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кроме паролей есть и другая конфиденциальная информация, и выправы нельзя узнать заранее что там в поле, а значит нужно считать всё конфиденциальным,и ничего не слать. Браузер это очень личная вещь, он вообще ничего не должен слать непонятно куда. А гугл это именно что непонятно куда судя по тому что мое доводилось увидеть у них внутри.
     
     
  • 3.44, хрю (?), 11:48, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    По идее везде по умолчанию должно быть spellcheck=false. Да и вообще любая отсылка инфы со страницы за пределы домена должна быть одобрена пользователем. А то напридумывали всякие "защиты" от кроссдоменов и т.п., а посмотришь что и куда браузер шлёт, так волосы на жопе шевелится начинают.
     
     
  • 4.126, Аноним (126), 13:18, 19/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >По идее везде по умолчанию должно быть spellcheck=false

    Большинство веб-макак не включало бы его там, где нужно.

     
  • 2.82, penetrator (?), 18:14, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    они же определяют, что являет логинов пассвордом на странице для их сохранения в менеджер паролей?

    так в чем сложность отбрасывать хотя бы по этому критерию?

     
     
  • 3.84, Аноним (56), 18:41, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    По какому?
     

  • 1.14, Аноним (18), 10:17, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Браузеры это уже не про технологии... кроме Links конечно же... консольные нужны
    а вообще про пароли вот вспомнилась картинка
    https://media.discordapp.net/attachments/710789391999696896/102095618118910773
     
     
  • 2.19, Аноним (56), 10:31, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И представил я:

    Город наводнился вдруг разумными людьми:
    Вышли все под Links,
    А проклятый Chrome - все удаляли, черт возьми.
    Позабыв про Edge, Firefox, Opera и прочий геморрой,
    Люди ставят Links,
    Словно в Рай заходят в Links,
    Нормальный, чистый Links...

     
     
  • 3.20, Аноним (18), 10:39, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    мне смешно от того что над хромом трясутся программисты.. не кто-то, а настоящие программисты от гугла. Но эти считанные мегабайты хуже любой операционки. Это как так?
    Сами наверно не понимаю, как их код работает))
     
     
  • 4.26, Аноним (56), 10:50, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Программисты из Гугла они такие.
    Сам то из под links картинки простишь?
     
     
  • 5.31, Аноним (18), 11:06, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Стараюсь и через Links выходить..

    Представь, что читаешь книгу, и к каждой её странице прицепили гирю - современный веб.

     
     
  • 6.46, Аноним (56), 11:55, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Поставить что читаешь книгу, с выколотыми глазами - попытки открывать веб-страницы через links

    И без шрифта брайля

     
  • 4.27, Аноним (22), 10:51, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты так хотел кольнут Гугл, за то что он лучше тебя, но никак не мог, но теперь от какой-то мутной новости ты нашел наконец повод и скомпенсировал свои комплексы.  
     

  • 1.28, Адмирал Майкл Роджерс (?), 10:56, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > проблема с отправкой конфиденциальных данных на серверы Google

    Применение термина "проблема" к данному функционалу некорректно.

     
  • 1.33, Аноним (33), 11:07, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А вот Brave отрубает облачную проверку, там такого "бага" нет.
     
     
  • 2.110, ДаНуНафиг (?), 04:33, 19/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я так понимаю, что оно везде по умолчанию выключено.
     

  • 1.34, Аноним (34), 11:08, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И что, кто-то заметил логин на госуслуги с сервера гугла?
     
     
  • 2.101, Аноним (100), 22:42, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Хочу чтобы в Гугл можно было логиниться через Госуслуги и вообще на все отечественные сервисы вроде социалок, почтовиков, провайдеров и т.д. Сейчас социалки добавляют логин через Гугл аккаунт и ничего.
     

  • 1.35, Аноним (32), 11:08, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >в случае если поля ввода паролей не ограничены штатным тегом "<input type=password>".

    Хозяин сервиса - барин, захочет - вообще всю базу паролей Гуглу продаст.

     
  • 1.40, nebularia (ok), 11:32, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В AWS и LastPass проблема уже оперативно решена через добавление параметра "spellcheck=false" в тег "input".

    Самое правильное решение.

     
     
  • 2.64, john_erohin (?), 14:28, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а чего мелочиться-то.
    "leakthisdata=false, illegausage=prohibited, NSA=f_ckoff"
     

  • 1.42, хрю (?), 11:42, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А номера кредитных карт тоже отправляются в облака для проверки ? :)))
    Интересно, а как в сторонних браузерах в том же Яндексе.
     
     
  • 2.45, Аноним (90), 11:51, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не беспокойтесь . Яндекс ИМ не шлёт . Яндекс кому надо шлёт .
     
  • 2.74, Аноним (95), 17:12, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Номер кредикти светится при любой покупке вообще везде, от магазинов до заправок. Тоже мне секрет.
     
     
  • 3.102, Аноним (100), 22:44, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ладно номер, а срок действия, CV, пароль?
    Не помню где слышал что в каком то браузере есть режим безопасный для онлайн банкинга
     
     
  • 4.130, Аноним (95), 18:30, 19/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Все данные кредитной карты мало того что напечатаны прямо на ней и видны в объек... большой текст свёрнут, показать
     

  • 1.53, Аноним (53), 12:52, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А че гугл с моим паролем сделает? Прочитает письма "татьяна лодыжкина хочет добавить вас в друзья"? Святые угодники, вот это да.
     
     
  • 2.54, Аноним (56), 13:04, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А ещё "гул" и может по номеру паспорта и другим паспортным данным взять кредит
     
     
  • 3.58, Вован (??), 13:20, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Помимо Васянов в мире есть люди которые на что-то влияют или что-то знают.
     

  • 1.62, Аноним (62), 14:23, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Надо было на расте писать
     
  • 1.63, InuYasha (??), 14:25, 18/09/2022 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +1 +/
     

     ....ответы скрыты (7)

  • 1.65, john_erohin (?), 14:31, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    вот пожтому я отключаю автопроверку правописания везде и всегда.
    мало ли куда оно утечет, мало ли что взбрендит в голову автору:
    в этой весрии сейчас оно локально, а в следующей стало через облако.
     
     
  • 2.98, Аноним (95), 20:55, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Софт тоже сам пиши весь. А то мало ли что взбрендит автору и он просто не забьёт на твои настройки втихую. А то и вовсе диск пошифрует и начнет биткоины вымогать. Думаешь откуда у гугла столько денег?
     
     
  • 3.138, john_erohin (?), 11:56, 24/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Софт тоже сам пиши весь.

    полагаюсь на миллион красных глаз, параноидный фаерволл и tcpdump.

     

  • 1.66, Аноним (66), 14:37, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    HTTPS говорили они Всё будет безопасно передаваться и никто не узнает мой пароль(
     
     
  • 2.68, Аноним (67), 15:28, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну так никто и не узнал! Кроме тех, кому положено. А если им положено - ты бы и сам им все рассказал. А так - и они знают, и тебе ничего рассказывать не нужно.
     
  • 2.125, Аноним (126), 13:14, 19/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Сливает сам браузер, хттпс тут ни причём.
     

  • 1.69, Аноним (69), 15:39, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А каким расширением или приложением это проверялось, может кто подсказать?
     
     
  • 2.99, Аноним (95), 20:56, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    tcpdump
     

  • 1.73, Аноним (-), 17:11, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А прогрессивному большинству нравится хранить все пароли под мастер паролем в облаках. И они теперь так всегда будут делать. Убобненько! Так что это даже не баг...
    Вот яндекс бравзир на чьи сервера отправляет, вот это интересно!
     
  • 1.76, Кира (ok), 17:48, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно было бы узнать, сколько уже успело утечь до выявления "проблемы". :)
     
  • 1.104, Санек (??), 23:29, 18/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ерунда а не уязвимость...
     
  • 1.107, Kusb (?), 00:17, 19/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жду аналитики от Google какие пароли люди юзают. Всё такое.
     
  • 1.108, Kusb (?), 00:18, 19/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На скриншоте будто выдуманная ОС из кино или Plan9
     
  • 1.118, Аноним (116), 10:07, 19/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В сам гугл встроено хранилище паролей. Т.е. пароли гуглу доверять это норм, а проверять пароли на орфографию это сразу уязвимость? Всё в порядке с головой?
     
     
  • 2.134, Аноним (134), 06:54, 20/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В разных случаях разная EULA.
     

  • 1.119, Трушный (?), 10:16, 19/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надо было писать Хром на Расте  тогда бы,не было такой фигни
     
  • 1.120, Агл (?), 10:24, 19/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    а всякие плагины для перевода через онлайн сервисы таким же не злоупотребляют?
     
  • 1.121, None (??), 10:34, 19/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чего все кипишуют? АНБ просто смотрит правильно ли вы пишете свои пароли и даже подскажет, если вы где случайно ошиблись. Всё для Людей.
     
  • 1.123, Аноним (123), 12:08, 19/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Фсигда атключаю эту функцию, так как есле пишыш с ошыбками, сразу пребегают учетеля и ноченают учить тебя гаматике. LoL)
     
     
  • 2.133, Аноним (134), 06:52, 20/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну типа те кто грамматику не запомнил, с ними потом конкретно неинтересно. А с кем неинтересно - у тех не бывает компьютера с огрызком на крышке. Осторжнее там, смотри...
     

  • 1.124, Аноним (124), 12:53, 19/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Оказалось, что текст для проверки передаётся давно и тема не нова. Заговорили об этом недавно.
     
  • 1.132, Аноним (134), 06:48, 20/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > оперативно решена через добавление параметра "spellcheck=false"

    По работе была шедевральная история, на днях. Админим машинки в облаке самого большого бренда. Мне говорят: давай мы не будем выяснять как оно работает, а просто вставим 'sleep 15', ну давай, а?

    Выяснилось, что вендор немного неочевидно химичит под капотом. Ну и давай... sleep расставлять.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру