Hvis du bruger Microsofts Internet Explorer i øjeblikket alt, hvad du skriver i browserens adresselinje kan være lækket til websteder.
Spørgsmålet blev afsløret af sikkerhedsekspert Manuel Caballero på tirsdag på den Knækkede Browser hjemmeside.
Når et script er startet inde i et objekt-html-tag, det sted, objekt, vil blive forvirret og afkast det primære sted, i stedet for sin egen. For at være præcis, det vil vende tilbage til den tekst, der er skrevet på adresselinjen, så hvad brugeren typer, der vil være tilgængelig med angriberen.
Dybest set, hvad det betyder, at websteder kan køre et simpelt script til at finde ud af, hvad brugerne skriver i Internet Explorer-adresse baren, mens brugeren er på sitet.
Du kan tjekke dette proof-of-concept side for at finde ud af, om din version af Internet Explorer, eller faktisk enhver anden browser, er berørt af problemet.
Du skal blot skrive noget, der kommer til dit sind i Internet Explorer ‘ s adresse baren, mens du er på siden, og tryk på Enter-tasten bagefter. Websiden vil aflytte belastning proces, fx indlæsning af Bing-søgning, hvis du ikke indtaste en adresse, og vise forespørgslen til dig på den side, der indlæses.
Dette bekræfter, at noget, du kan blive lækket til webstedet, hvis det gennemfører sådan et script. Oplysninger om, hvordan forskeren stødte på en fejl er sendt til offentliggørelse indlæg.
Internet Explorer ‘ s håndtering af placering objekter, når injiceres “onbeforeunload” er mangelfuld, da den returnerer den placering browseren kommer til, eller hvad der nu skrevet i adresselinjen.
Med andre ord, hvis vi hente placering.href af objektet, mens brugeren forlader den vigtigste side, vil vi være i stand til at vide, hvad der var skrevet i adresse-bar, eller, hvis brugeren har klikket på et link, vil vi kender adressen på det link, der browseren er til at gå til.
Der er det! Nu vil vi hente objekt beliggenhed, når brugeren forlader og ved præcis, hvad hun har skrevet i adresselinjen. Det behøver ikke at være en fuldstændig URL-adresse, for eksempel, hvis brugeren indtaster i adresselinjen, vil den automatisk blive konverteret til en søgning URL (Bing som standard på IE), som kan selvfølgelig være helt at læse!
Her er en demo video, der viser den sårbarhed i Internet Explorer:
Læs også: Microsoft Kant på Android og iOS?
Jeg testede det i den seneste version af Internet Explorer på Windows-10, og det er påvirket af problemet.
Der er ingen løsning lige nu, til at beskytte hvad du skriver fra at blive lækket i Internet Explorer. De to muligheder, du har, er til enten at være meget forsigtige, når det kommer til indtaste noget i browserens adresselinje, eller at bruge en anden browser indtil Microsoft løser problemet.