Despre lista albă secretă a Microsoft Edge Flash

Utilizatorii browserului Microsoft Edge utilizează o listă albă secretă Flash care permite rularea conținutului Flash fără clic pentru a reda protecția pe site-urile incluse.

Microsoft Edge, browserul implicit al sistemului de operare Windows 10 Microsoft, acceptă nativ Adobe Flash. Flash este setat pentru a face clic pe redare în browser, iar utilizatorii pot dezactiva Flash în totalitate în setările browserului.

Microsoft lansează periodic actualizări Flash în ziua lunară a corecției companiei pentru a remedia problemele de securitate descoperite în Flash.

De curând, a ieșit la iveală faptul că Microsoft a implementat o listă albă Flash care permitea rularea conținutului Flash pe 58 de domenii diferite fără interacțiunea utilizatorului. Site-urile de pe această listă includ Deezer, Facebook, portalul MSN, Yahoo sau QQ, dar și intrări la care nu te-ai aștepta neapărat pe o astfel de listă precum un salon de coafură spaniol.

Microsoft a limitat lista cu actualizarea Patch Tuesday de această lună la doar două înregistrări pe Facebook și a impus utilizarea HTTPS pentru aceste site-uri, după ce un inginer Google a depus un raport de eroare la companie la sfârșitul lui 2018.

Microsoft a scos lista, iar inginerul Google a trebuit să o creeze folosind un dicționar de nume de domeniu cunoscute și populare.

Conform raportului de erori, conținutul Flash este permis să se încarce dacă este găzduit pe unul dintre domeniile listate în alb sau dacă elementul Flash este mai mare de 398x298 pixeli.

Atacatorii ar putea exploata lista pentru a ocoli clicurile pentru a reda politicile în întregime sau să folosească vulnerabilitățile XSS pe unele dintre site-urile incluse. Microsoft Edge respectă clicul Flash pentru a reda politicile de pe toate celelalte site-uri. Utilizatorii trebuie să permită executarea conținutului Flash în Microsoft Edge pe site-urile care nu sunt listate în alb.

Nu este clar de ce Microsoft a adăugat lista albă; este posibil să facă acest lucru pentru a îmbunătăți compatibilitatea pe anumite site-uri. Deși acest lucru ar avea sens pe site-uri majore precum Flashbook care încă găzduiește conținut Flash, nu este clar ce parametri a folosit Microsoft pentru crearea listei.

Lista conține câteva site-uri arcade care găzduiesc jocuri Flash, dar nu listează site-uri arcade la fel de populare care găzduiesc și jocuri Flash. Este nedumeritor faptul că unele site-uri sunt pe listă, în timp ce altele nu. Este posibil ca unele site-uri să fie adăugate

Am contactat Microsoft pentru comentarii, dar nu am auzit încă. Vom actualiza articolul dacă vor apărea informații suplimentare.

Cuvinte de închidere

Este nedumeritor faptul că Microsoft ar adăuga o listă albă Flash în browserul său Edge, având în vedere că Microsoft nu reușește niciodată să evidențieze caracteristicile de securitate ale Edge. Permiterea site-urilor să ruleze conținut Flash fără permisiunea utilizatorului este extrem de problematică din punct de vedere al securității, chiar și pe site-uri populare.

Înlăturarea controlului și dezvăluirea faptului utilizatorilor este extrem de problematică nu numai din punct de vedere al securității, dar și atunci când vine vorba de încredere.

Acum Tu : Ce te ocupi de asta?