Microsoftin Edge-selaimen käyttäjät käyttävät salaista Flash-sallittujen luetteloiden luetteloa, jonka avulla Flash-sisältöä voidaan käyttää napsauttamatta pelataksesi suojausta mukana olevissa sivustoissa.
Microsoft Edge, Microsoftin Windows 10 -käyttöjärjestelmän oletusselain, tukee Adobe Flashia natiivisti. Flash on asetettu napsauttamaan toistamista selaimessa, ja käyttäjät voivat poistaa Flashin kokonaan käytöstä selaimen asetuksissa.
Microsoft julkaisee Flash-päivityksiä säännöllisesti yrityksen kuukausittaisena päivityspäivänä Flashin löytämien tietoturvaongelmien korjaamiseksi.
Äskettäin tuli ilmi, että Microsoft otti käyttöön Flash-sallitun luettelon, jonka avulla Flash-sisältöä voitiin käyttää 58 eri verkkotunnuksessa ilman käyttäjän vuorovaikutusta. Luettelon sivustoihin kuuluivat Deezer, Facebook, MSN-portaali, Yahoo tai QQ, mutta myös merkinnät, joita ei välttämättä odoteta tällaisessa luettelossa, kuten espanjalainen kampaamo.
Microsoft rajoitti tämän kuukauden Patch Tiistaina -päivityksen luettelon vain kahteen Facebook-merkintään ja pakotti HTTPS: n käytön näihin sivustoihin sen jälkeen kun Google-insinööri jätti virheraportin yritykselle vuoden 2018 lopulla.
Microsoft hämärtää luettelon ja Google-insinöörin piti murtaa se tunnettujen ja suosittujen verkkotunnusten sanakirjan avulla.
Vikaraportin mukaan Flash-sisällön sallitaan latautua, jos sitä ylläpidetään yhdellä sallittujen luetteloiden verkkotunnuksista tai jos Flash-elementti on suurempi kuin 398x298 kuvapistettä.
Hyökkääjät voisivat hyödyntää luetteloa ohittaaksesi napsautuksen pelataksesi käytäntöjä kokonaan tai käyttääksesi XSS-haavoittuvuuksia joillakin mukana olevilla sivustoilla. Microsoft Edge kunnioittaa Flash-napsautusta pelataksesi käytäntöjä kaikilla muilla sivustoilla. Käyttäjien on sallittava Flash-sisällön suorittaminen Microsoft Edgessä muissa kuin sallitussa luettelossa olevilla sivustoilla.
On epäselvää, miksi Microsoft lisäsi sallittujen luetteloon; on mahdollista, että se teki niin parantaakseen yhteensopivuutta tietyillä sivustoilla. Vaikka se olisi järkevää suurilla sivustoilla, kuten Flashbook, joka edelleen isännöi Flash-sisältöä, on epäselvää, millä parametreilla Microsoft on luonut luettelon.
Luettelossa on joitain arcade-sivustoja, jotka isännöivät Flash-pelejä, mutta siinä ei ole yhtä suosittuja arcade-sivustoja, jotka isännöivät myös Flash-pelejä. On hämmentävää, että jotkut sivustot ovat luettelossa, kun taas toiset eivät. On mahdollista, että joitain sivustoja on lisätty
Otamme yhteyttä Microsoftiin kommentteja varten, mutta emme ole vielä kuuleneet asiaa. Päivitämme artikkelin, jos lisätietoja tulee esiin.
Päättävät sanat
On hämmentävää, että Microsoft lisäisi Flash-sallittujen luetteloidensa Edge-selaimeen ottaen huomioon, että Microsoft ei koskaan korosta Edgen suojausominaisuuksia. Sivustojen salliminen ajaa Flash-sisältöä ilman käyttäjän lupaa on turvallisuuden kannalta erittäin ongelmallista jopa suosituilla sivustoilla.
Hallinnan poistaminen ja tosiseikkojen paljastaminen käyttäjille on erittäin ongelmallista paitsi turvallisuuden kannalta myös luottamuksen kannalta.
Nyt sinä : Mikä on mielipiteesi tähän?
