科技食谱

“超过 2,000 个 Google Chrome 插件削弱了安全性”

有报道称,Chrome Web Store 上分发的一些扩展程序包含大量伪装成广告拦截器并窃取个人信息的恶意软件。根据安全研究小组 CISPA 的研究,已发现 2,000 多个 Google Chrome 扩展程序具有操纵安全标头的能力。

访问网站时,Web 浏览器会从服务器接收安全标头,例如需要 HTTPS 通信的 HTTP 严格传输安全 (HSTS) 和 CSP(一种减轻来自外部攻击的内容安全策略)。尽管许多网站都采用了这些安全标头,但它们也可能成为攻击者的目标。研究团队通过针对 4 种类型的安全标头(HSTS、CSP、X-Frame-Options、X-Content-Type-Options)调查是否对 Google Chrome 扩展插件产生影响。

调查结果发现,在 Chrome Web Store 上分发的 186,434 个插件中,有 2,485 个至少更改了一种类型的安全标头。发现另外 533 个更改了所有四个安全标头。修改最多的安全头是CSP,据说其他安全头也在1000多个插件中进行了更改。

据研究团队称,插件对安全标头的大部分更改旨在改善用户体验,并非恶意。不过,研究团队反对操纵安全标头,称更改安全标头可能会使用户面临攻击风险。相关信息可以在这里找到。

lswcap

lswcap

通过每月的AHC PC和HowPC杂志时代,他在网络IT媒体上观看了“技术时代”,如ZDNet,电子报互联网经理,Consumer Journal Ivers的编辑,TechHolic出版商和Venture Square的编辑。 我很好奇这个仍然充满活力的市场。

Add comment

Follow us

Don't be shy, get in touch. We love meeting interesting people and making new friends.

Most discussed

%d 블로거가 이것을 좋아합니다: