根据 CISPA 亥姆霍兹中心计算机安全研究人员进行的一项研究,数千个 Google Chrome 扩展故意删除了 HTTP 安全标头。这些标头旨在抵御许多网络攻击。
尽管谷歌 Chrome 91 刚刚发布,来自 CISPA 亥姆霍兹中心研究所的计算机安全研究人员决定查看 Chrome 网上应用店中的 186,000 个扩展程序。演习的目标?检查这些扩展是否禁用 HTTP 连接安全标头。
您会看到,安全 HTTP 标头是专门为阻止许多网络攻击而设计的,例如发送损坏的数据或利用各种漏洞。例如,HSTS(HTTP 严格传输安全)标头使用数据加密(SSL 证书)来防止您的数据在您浏览时被恶意行为者拦截。
另请阅读:Chrome 91改进了Windows 10上的文件复制粘贴和表单设计
2485 扩展删除了必要的 HTTP 标头
另一个例子,公钥固定标头可以保护您免受未经授权的证书颁发,从而避免中间人攻击,特别是用于窃取访问凭据或其他敏感数据的攻击。然而,根据 CISPA 亥姆霍茨中心研究所的研究人员获得的结果,2485 扩展至少删除以下四个 HTTP 标头之一:
- HSTS协议
- XFO(X-Frame 选项)有助于保护网站访问者免受点击劫持技术的侵害,也称为点击劫持(允许用户重定向到与用户选择的内容不同的内容)
- XCTO(X 内容类型选项)有助于保护服务器免受嗅探 MIME 类型的尝试(允许攻击者对站点或用户执行某些危险操作)
- CSP(内容安全策略)可防止攻击者在网站主页上引入恶意脚本
蛋糕上的樱桃,533扩展同时删除这四个标头。正如研究人员指出的那样,这些扩展的开发人员更愿意不使用这些标头,以在其软件中提供更多功能,因此必然无意损害用户安全。
然而最终的结果还是一样,这些 Google Chrome 扩展程序的用户遭受网络攻击的风险急剧增加。提醒一下,Google Chrome 90 最近在 Windows 10 PC 上遭遇了众多错误。谷歌很快指出了如何解决这个问题。
来源 :记录
询问我们最新的!
谷歌正在通过谷歌文档的一项有前途的新功能来扩展其人工智能工具库。这项创新被称为“帮助我创建”,它远远超出了简单的写作帮助,它允许完整生成结构化文档。这个消息……
应用领域
来自 CarWoW YouTube 频道的 Mat Watson 刚刚进行了一项相当独特的测试。这个想法?驾驶六辆电动 SUV 达到极限,看看哪一辆能跑得最远。所有人都在同一天、同一条路线上……
电动车
