- フォンアンドロイド.com
- 電話
- アプリケーション
- Chrome: 何千もの拡張機能がユーザーのセキュリティを脅かす
CISPA ヘルムホルツ センターのコンピュータ セキュリティ研究者が実施した調査によると、何千もの Google Chrome 拡張機能が意図的に HTTP セキュリティ ヘッダーを削除しています。これらのヘッダーは、多くのサイバー攻撃に対抗するように設計されています。
その間Google Chrome 91が登場しましたCISPA ヘルムホルツ センター研究所のコンピューター セキュリティ研究者は、Chrome ウェブストアにある 186,000 の拡張機能を調査することにしました。作戦の目的は?これらの拡張機能が HTTP 接続セキュリティ ヘッダーを無効にするかどうかを確認します。
セキュリティ HTTP ヘッダーは、破損したデータの送信やさまざまな脆弱性の悪用など、多くのサイバー攻撃を阻止するために特別に設計されています。たとえば、HSTS (HTTP Strict Transport Security) ヘッダーはデータ暗号化 (SSL 証明書) を使用して、閲覧中にデータが悪意のある攻撃者によって傍受されるのを防ぎます。
こちらもお読みください:Chrome 91 では、Windows 10 でのファイルのコピーと貼り付けとフォームのデザインが改善されています
2485 拡張機能は必須の HTTP ヘッダーを削除します
別の例として、公開キー ピン留めヘッダーは、証明書の不正な発行からユーザーを保護し、特にアクセス資格情報やその他の機密データを盗むために使用される中間者攻撃を回避します。しかし、CISPA ヘルムホッツ センター研究所の研究者が得た結果によると、2485 拡張機能は、次の 4 つの HTTP ヘッダーのうち少なくとも 1 つを削除します。:
- HSTS プロトコル
- XFO (X フレーム オプション) は、クリックジャッキングとも呼ばれるクリックジャッキング手法からサイトへの訪問者を保護します (ユーザーが選択したコンテンツとは異なるコンテンツにユーザーをリダイレクトできるようにします)。
- XCTO (X コンテンツ タイプ オプション)。MIME タイプを盗聴する試みからサーバーを保護します (攻撃者がサイトまたはユーザーに対して特定の危険な操作を実行できるようにします)。
- 攻撃者がサイトのメイン ページに悪意のあるスクリプトを導入するのを防ぐ CSP (コンテンツ セキュリティ ポリシー)
ケーキの上のチェリー、533 拡張機能はこれら 4 つのヘッダーを同時に削除します。研究者らが指摘しているように、ユーザーのセキュリティを損なう意図は必ずしもなく、これらの拡張機能の開発者はソフトウェア内でより多くの機能を提供するためにこれらのヘッダーを省略することを好みます。
しかし、結局結果は変わらず、これらの Google Chrome 拡張機能のユーザーに対するサイバー攻撃のリスクは大幅に増加します。思い出してください。最近、Google Chrome 90 は Windows 10 PC で多数のバグに悩まされています。 Google は問題を解決するために何をすべきかをすぐに示しました。
ソース :記録
![ロムカスタム [ROM] [ハイブリッド]パラノイアンドロイド 3.99 P5110/P5113 および P5100](https://yumie.trade/statics/image/placeholder.png)
