Google, LLC
Google Chrome के अधिवक्ता, जेक आर्किबाल्ड ने आधुनिक वेब ब्राउज़िंग तकनीक में काफी गंभीर भेद्यता की खोज की है जो साइटों को लॉगिन विवरणों के साथ-साथ अन्य संवेदनशील सूचनाओं को चुराने की अनुमति दे सकती है। एक्सप्लॉइट सैद्धांतिक रूप से उन अन्य साइटों से संबंधित जानकारी चुरा सकता है, जिन्हें आपने लॉग इन किया है, लेकिन वर्तमान में एक्सेस करने का प्रयास नहीं कर रहे हैं।
दूरस्थ हमलावर काल्पनिक रूप से भी इस भेद्यता का उपयोग कर सकते हैं ताकि आप सोशल नेटवर्किंग साइटों पर आपके द्वारा भेजे गए ईमेल की सामग्री को पढ़ सकें।
क्रॉस-ऑरिज रिक्वेस्ट तकनीक कोर प्रदान करती है कि भेद्यता सिद्धांत में बनाई जा सकती है। आधुनिक ब्राउज़र क्रॉस-उत्पत्ति अनुरोध करने के लिए साइटों को अनुमति नहीं देते हैं क्योंकि आधुनिक इंजीनियरों का मानना है कि एक साइट पर दूसरे से दी गई जानकारी को देखने के लिए कुछ वैध कारण हैं।
जब यह इस तरह के अनुरोध को ऑडियो और वीडियो को लोड करने के लिए आवश्यक है, तब से वेब ब्राउज़र इतने विशेष रूप से तब उत्पन्न नहीं होते हैं जब यह बाहर की उत्पत्ति पर होस्ट की गई अन्य प्रकार की मीडिया फ़ाइलों को लाने के लिए आता है।
साइट कोड को आमतौर पर अनधिकृत अनुरोध त्रुटि प्रदर्शित करने के लिए ब्राउज़र को संकेत दिए बिना अन्य डोमेन से ऑडियो और वीडियो फ़ाइलों को लोड करने की अनुमति दी जाती है। ब्राउज़र कुछ प्रकार के रेंज हेडर और आंशिक सामग्री लोड प्रतिक्रियाओं का भी समर्थन कर सकते हैं, जो कि स्ट्रीमिंग मीडिया के एक बड़े टुकड़े के छोटे टुकड़ों को वितरित करने वाले हैं।
आर्चिबाल्ड के शोध के अनुसार Microsoft एज, मोज़िला फ़ायरफ़ॉक्स और अन्य आधुनिक ब्राउज़रों को इस पद्धति का उपयोग करके अनियमित अनुरोधों को लोड करने में धोखा दिया जा सकता है। इन ब्राउज़रों को एंड-यूज़र के माध्यम से कई स्रोतों से अपारदर्शी डेटा की परीक्षण प्रतियों को अनुमति देने के लिए दिखाया गया है।
वर्तमान में इस हमले के वेक्टर का उपयोग करने वाले पटाखे का कोई ज्ञात उदाहरण नहीं है। वेवक्रिट, जैसा कि आर्चीबाल्ड कहता है, क्रोम और सफारी में पहले से ही सही ढंग से बिना किसी उद्देश्य के ऐसा करने की कोशिश की गई है। उन्होंने कहा कि वह चाहते हैं कि इस तरह की सुरक्षा सुविधा को एक ब्राउज़िंग मानक के रूप में लिखा गया है, इसलिए सभी आधुनिक ब्राउज़र भेद्यता के लिए प्रतिरक्षात्मक होंगे।
हालांकि बग के जवाब में Microsoft या मोज़िला के बारे में कोई खबर नहीं है, यह विश्वास करना मुश्किल नहीं है कि इन दोनों ब्राउज़रों के अगले प्रमुख अपडेट के साथ पैच जारी किए जाएंगे। आर्कबाइल्ड की इच्छा के अनुसार इंजीनियर इस डिजाइन के लिए किसी दिन धक्का दे सकते हैं।
टैग गूगल क्रोम वेब सुरक्षा