Уеб браузърът на Microsoft Edge използва секретен Flash списък с бележки, който позволява Flash съдържание да се изпълнява без клик, за да играе защита на включени сайтове.
Microsoft Edge, браузърът по подразбиране на операционната система Windows 10 на Microsoft, поддържа Adobe Flash от само себе си. Flash е зададен да играе при кликване в браузъра и потребителите могат да деактивират Flash изцяло в настройките на браузъра.
Microsoft пуска актуализации на Flash редовно в месечния патч на компанията, за да коригира проблемите със сигурността, открити във Flash.
Наскоро стана ясно, че Microsoft внедри Flash бели списъци, които позволиха Flash съдържание да се изпълнява в 58 различни домена без взаимодействие с потребителя. Сайтовете в този списък включват Deezer, Facebook, портала MSN, Yahoo или QQ, но също така и записи, които човек не би трябвало да очаква в такъв списък като испански фризьорски салон.
Microsoft ограничи списъка на тази месечна актуализация на Patch Tuesday до само две записи във Facebook и наложи използването на HTTPS за тези сайтове, след като инженер на Google подаде доклад за грешки в компанията в края на 2018 г.
Microsoft обърка списъка и инженерът на Google трябваше да го разбие, използвайки речник с известни и популярни имена на домейни.
Според доклада за грешки, Flash съдържанието е позволено да се зарежда, ако е хоствано в един от белите домейни или ако елементът Flash е по-голям от 398x298 пиксела.
Атакуващите могат да използват списъка, за да заобиколят щракването, за да играят изцяло политики или да използват уязвимости на XSS на някои от включените сайтове. Microsoft Edge уважава Flash click, за да играе на всички други сайтове. Потребителите трябва да разрешат изпълнението на Flash съдържание в Microsoft Edge на сайтове, които не са включени в бели списъци.
Не е ясно защо Microsoft добави белия списък; възможно е да е направил това за подобряване на съвместимостта в избрани сайтове. Въпреки че това би имало смисъл в големи сайтове като Flashbook, които все още съдържат Flash съдържание, не е ясно кои параметри е използвал Microsoft за създаването на списъка.
Списъкът съдържа някои аркадни сайтове, които хостват Flash игри, но не изброява еднакво популярни аркадни сайтове, които също домакин на Flash игри. Озадачаващо е, че някои сайтове са в списъка, докато други не. Възможно е някои сайтове да са добавени
Свързахме се с Microsoft за коментар, но все още не сме чували. Ще актуализираме статията, ако се появи допълнителна информация.
Заключителни думи
Озадачаващо е, че Microsoft ще добави Flash списък с бележки към своя браузър Edge, като се има предвид, че Microsoft никога не пропуска да подчертае функциите за защита на Edge. Разрешаването на сайтове да стартират Flash съдържание без разрешение от потребителя е силно проблематично от гледна точка на сигурността дори на популярни сайтове.
Отнемането на контрол и не разкриването на факта на потребителите е силно проблематично не само от гледна точка на сигурността, но и когато става въпрос за доверие.
Сега Вие : Какво мислите за това?
