强调:
Google Chrome 80带有一项称为“滚动到文本片段”的新功能,该功能使用户可以直接通过URL栏突出显示网页上的特定短语。
显然,此功能具有影响Web用户隐私的错误。
知道该错误的人可以利用该错误来访问用户的Chrome数据,然后窃取该错误。
本月初,Google推出了Chrome浏览器的最新更新。该更新被称为Google Chrome 80,其中包括一项名为“滚动到文本片段”的新功能,该功能使用户可以在URL栏中添加一个短语,然后让浏览器自动滚动到网页上的特定短语。这是一个简洁的功能,尤其是在密集的网页或上面有很多文字的网页上,例如Wikipedia上的网页。不幸的是,此功能也有隐私风险。
总部位于美国的Brave Web Browser的Peter Snyder提出了有关此新功能的担忧。根据他的注释,“滚动到文本片段”功能使潜在的攻击者或黑客能够访问Web用户的私人信息。由于功能中的错误,这是可能的。例如,潜在的攻击者可以通过突出显示的链接访问Twitter或Facebook上某个人的私人信徒的基本但重要的信息。
彼得·斯奈德(Peter Snyder)举了一个例子:“例如:考虑一种情况,我可以查看DNS流量(例如公司网络),然后使用#:〜:text = cancer发送到公司运行状况门户的链接。在某些页面布局上,通过查找所请求的页面下方资源,我也许可以判断该员工是否患有癌症”
Snyder试图说的是,如果某人在特定网页上突出显示癌症一词,则攻击者可以通过此突出显示的链接来获取其私人信息,从而知道该人是否患有癌症。
根据Bleeping Computer的一份报告,所有主要开发人员都是W3C的Web平台孵化器组(WICG)的一部分。此平台用于在将新功能添加到浏览器之前提出新功能。该平台使外部开发人员和安全研究人员可以质疑有关技术,安全或隐私问题的任何问题。
与该新功能有关的这些问题是在发布Chrome 80之前引起的。但是,谷歌还是决定继续进行发布。我们理解问题,但不同意严重性,因此我们可以在不要求选择加入的情况下允许这样做(尽管我们仍在努力选择加入/退出),” Google Chrome开发人员David Bokan说。
Snyder甚至将该功能引入了Google,因为他认为该功能可能会带来隐私风险。据报道,谷歌在启用该功能时未解决此问题。对此,Snyder回答说,当其唯一目的未达到时,就不会引入像WICG这样的平台。