根據 CISPA 亥姆霍茲中心電腦安全研究人員進行的一項研究,數千個 Google Chrome 擴充功能故意刪除了 HTTP 安全標頭。這些標頭旨在抵禦許多網路攻擊。
儘管Google Chrome 91 剛剛發布,來自 CISPA 亥姆霍茲中心研究所的電腦安全研究人員決定查看 Chrome 線上應用程式商店中的 186,000 個擴充功能。演習的目標?檢查這些擴充功能是否禁用 HTTP 連線安全標頭。
您會看到,安全 HTTP 標頭是專門為阻止許多網路攻擊而設計的,例如發送損壞的資料或利用各種漏洞。例如,HSTS(HTTP 嚴格傳輸安全性)標頭使用資料加密(SSL 憑證)來防止您的資料在您瀏覽時被惡意行為者攔截。
另請閱讀:Chrome 91改進了Windows 10上的檔案複製貼上和表單設計
2485 擴充功能刪除了必要的 HTTP 標頭
另一個例子,公鑰固定標頭可以保護您免受未經授權的憑證頒發,從而避免中間人攻擊,特別是用於竊取存取憑證或其他敏感資料的攻擊。然而,根據 CISPA 亥姆霍茨中心研究所的研究人員所獲得的結果,2485 擴充功能至少刪除以下四個 HTTP 標頭之一:
- HSTS協議
- XFO(X-Frame 選項)有助於保護網站訪客免受點擊劫持技術的侵害,也稱為點擊劫持(允許用戶重定向到與用戶選擇的內容不同的內容)
- XCTO(X 內容類型選項)有助於保護伺服器免受嗅探 MIME 類型的嘗試(允許攻擊者對網站或使用者執行某些危險操作)
- CSP(內容安全策略)可防止攻擊者在網站主頁上引入惡意腳本
蛋糕上的櫻桃,533擴充同時刪除這四個標頭。正如研究人員指出的那樣,這些擴展的開發人員更願意不使用這些標頭,以在其軟體中提供更多功能,因此必然無意損害用戶安全。
然而最終的結果還是一樣,這些 Google Chrome 擴充功能的用戶遭受網路攻擊的風險急劇增加。提醒一下,Google Chrome 90 最近在 Windows 10 PC 上遭遇了許多錯誤。谷歌很快指出瞭如何解決這個問題。
來源 :記錄
詢問我們最新的!
谷歌正在透過谷歌文件的一項有前途的新功能來擴展其人工智慧工具庫。這項創新被稱為“幫助我創建”,它遠遠超出了簡單的寫作幫助,它允許完整生成結構化文件。這個消息…
應用領域
來自 CarWoW YouTube 頻道的 Mat Watson 剛剛進行了一項相當獨特的測試。這個想法?駕駛六輛電動 SUV 達到極限,看看哪一輛能跑得最遠。所有人都在同一天、同一條路線上…
電動車
