af Martin Brinkmann februar 21, 2019 i Internet – Sidste Opdatering: februar 21, 2019 – 18 kommentarer
Microsoft ‘ s Edge web browser brugere en hemmelig Flash positivlisten, der giver mulighed for Flash-indhold at køre uden klikke på for at få beskyttelse på steder i prisen.
Microsoft Kant, standard-browser på Microsofts Windows-10-operativsystemet, der understøtter Adobe Flash indbygget. Flash er indstillet til klik-for-at-spille i browseren, og brugere kan deaktivere Flash helt i browserens indstillinger.
Microsoft frigiver Flash opdateringer regelmæssigt på virksomhedens månedlige patch-dag til at løse sikkerhedsproblemer er opdaget i Flash.
Det kom frem for nylig, at Microsoft har implementeret en Flash positivlisten som tilladt Flash-indhold at køre på 58 forskellige domæner uden interaktion fra brugeren. Websteder på listen i prisen Deezer, Facebook, MSN-portal, Yahoo, eller QQ, men også poster, som man ikke nødvendigvis ville forvente på sådan en liste som en spansk frisørsalon.
Microsoft begrænset listen på denne måneds Patch Tuesday opdatering til blot to Facebook poster og tvungen brug af HTTPS til disse steder efter en Google-ingeniør indgivet en fejlrapport med virksomheden i slutningen af 2018.
Microsoft uklar listen og Google ingeniør havde til at knække det ved hjælp af en ordbog af kendte og populære domænenavne.
I henhold til fejlrapporten, Flash-indhold er tilladt for belastning, hvis det er placeret på en af de whitelisten domæner, eller hvis Flash element er større end 398×298 pixels.
Angribere kan udnytte listen for at omgå klik for at afspille-politikker, der helt eller bruge XSS sårbarheder på nogle af de inkluderede websteder. Microsoft Kant respekterer Flash-klik her for at spille politikker på alle andre sites. Brugere er nødt til at tillade udførelse af Flash-indhold i Microsoft Kant på ikke-whitelisten sites.
Det er uklart, hvorfor Microsoft tilføjes whitelisten; det er muligt, at det gjorde det for at forbedre kompatibiliteten på udvalgte steder. Mens der ville give mening på større sider som Flashbook, der stadig være vært for Flash-indhold, men det er uklart, hvilke parametre Microsoft, der bruges til at oprette listen.
Den liste har nogle arcade websteder, der er vært Flash-spil, men ikke over lige så populære arkade websteder, der også er vært Flash spil. Det er forvirrende, at nogle websteder ikke er på listen, mens andre ikke er det. Det er muligt, at nogle steder blev tilføjet
Vi kontaktede Microsoft for en kommentar, men har ikke hørt noget endnu. Vi vil opdatere artiklen hvis du ønsker yderligere information kommer til lys.
Afsluttende Ord
Det er gådefuldt, at Microsoft vil tilføje en Flash whitelist til sin Kant browser i betragtning af, at Microsoft aldrig undlader at fremhæve Kant ‘ s sikkerheds-funktioner. Du giver websites tilladelse til at køre Flash-indhold, uden brugerens tilladelse er yderst problematisk ud fra et sikkerhedsmæssigt synspunkt, selv om populære seværdigheder.
Tage kontrol og ikke afsløre det faktum, at brugerne er meget problematisk, ikke kun fra et sikkerhedsmæssigt synspunkt, men også når det kommer til at stole på.
Nu kan Du: Hvad er dit bud på dette?