Selaimen automaattinen täyttöhuijaus piilotettujen lomakekenttien avulla - Varo ja ole turvassa

2018-09-30 10:52:26
Tärkein·Muut·Selaimen automaattinen täyttöhuijaus piilotettujen lomakekenttien avulla - Varo ja ole turvassa

Jos olet käyttänyt selaimesi automaattista täyttöä jokaisessa käymässäsi verkkosivustossa, tässä on sinulle tärkeitä uutisia. On havaittu, että selaimet, kuten Chrome, Safari tai muut, jotka tukevat monimuotoista automaattista täyttämistä, voidaan huijata antamaan tietosi, jopa luottokorttinumerot, niiden voimassaoloajan päättymispäivä ja CVV-koodit verkkosivustoille.

Kuinka phish toimii?

Tietokalastelusivustossa voi olla näkyviä lomakekenttiä tai tekstilaatikoita perustietojen, kuten käyttäjänimen ja sähköpostiosoitteen, keräämistä varten. Lisäksi sivustolla on muita lomakekenttiä, jotka on määritetty pitämään piilossa verkkosivulla negatiivisia marginaaleja tai mahdollisesti muita CSS-menetelmiä käyttämällä. Kun käytät automaattista täyttöä näkyvien lomakekenttien täyttämiseen, piilotetut lomakekentät saavat myös vastaavat tiedot.

Suomalainen verkkokehittäjä ja hakkeri Viljami Kuosmanen on löytänyt tämän haavoittuvuuden. Hän on myös perustanut esittelysivun, jossa voit nähdä kuinka phish toimii. Vieraile hänen GitHub-projektisivullaan saadaksesi lisätietoja.

Jos katsot esittelyverkkosivun lähdekoodia, voit nähdä, että ylimääräisiä lomakekenttiä on verkkosivulla, mutta ne eivät näy näytöllä. Kun olet täyttänyt viattoman näköisen ”Nimi” -ruudun automaattisen täytön avulla, muut kentät täyttyvät automaattisesti. Kun olet napsauttanut Lähetä, kaikki tiedot julkaistaan ​​sivustolle.

Esimerkki: cc_number-kentässä on negatiivinen vasen marginaali (-500px), joten sitä ei näytetä sivulla

Firefox ei ole haavoittuva, koska se ei tue monimuotoista automaattista täyttämistä. Firefoxissa sinun on valittava jokainen kenttä ja kirjoitettava aloituskirjain, tai kaksoisnapsauttamalla kenttää tai painamalla alanuolta ja napsauttamalla yhtä avattavasta kohdasta. Tietoja ei täytetä automaattisesti piilotettuihin tekstiruutuihin.

Google Chrome -tiimiltä voidaan odottaa korjausta, koska yksinkertainen, mutta tehokas tietojenkalastelumenetelmä saatettiin parrasvaloon. Siihen asti sulje selain automaattinen täyttö käytöstä tai ainakin älä käytä automaattista täyttämistä verkkosivustoilla, joihin et täysin luota.

Sammuta automaattinen täyttö Chromessa

Avaa Chromessa Asetukset ja napsauta Näytä lisäasetukset.

Poista valinta kohdasta Salasanat ja lomakkeet kohdasta Salli automaattisen täytön täyttäminen Web-lomakkeet yhdellä napsautuksella.

Sammuta automaattinen täyttö Operassa

Operassa automaattisen täytön asetukset ovat käytettävissä Asetukset> Tietosuoja ja suojaus> “Automaattinen täyttö”. Poista valinta kohdasta Ota verkkosivujen lomakkeiden automaattinen täyttö käyttöön.

kautta Lifehacker.

Päivitys: Juuri havaitsin, että Yoast on kirjoittanut tästä haavoittuvuudesta jo vuonna 2013. Tarkista, miksi sinun ei pitäisi käyttää automaattista täydennystä • Yoast

Toimituksen Valinta