Mengenai senarai putih Flash rahsia Microsoft Edge

Pengguna pelayar web Edge Microsoft adalah whitelist Flash rahsia yang membolehkan kandungan Flash dijalankan tanpa klik untuk memainkan perlindungan di laman web yang disertakan.

Microsoft Edge, pelayar lalai sistem pengendalian Microsoft Windows 10, menyokong Adobe Flash secara asal. Flash ditetapkan untuk klik-untuk-bermain dalam pelayar, dan pengguna boleh mematikan Flash sepenuhnya dalam tetapan penyemak imbas.

Microsoft melancarkan pembaharuan Flash secara berkala pada hari tampalan bulanan syarikat untuk memperbaiki masalah keselamatan yang ditemui di Flash.

Baru-baru ini, Microsoft menerapkan senarai putih Flash yang membolehkan kandungan Flash dijalankan pada 58 domain yang berbeza tanpa interaksi pengguna. Tapak di senarai itu termasuk Deezer, Facebook, portal MSN, Yahoo atau QQ tetapi juga penyertaan yang tidak semestinya mengharapkan senarai seperti seperti salun rambut Sepanyol.

Microsoft menghadkan senarai pada kemas kini Patch Selasa bulan ini kepada hanya dua entri Facebook dan menguatkuasakan penggunaan HTTPS untuk laman-laman ini selepas jurutera Google memfailkan laporan pepijat dengan syarikat itu pada akhir 2018.

Microsoft menghancurkan senarai itu dan jurutera Google terpaksa memecahkannya menggunakan kamus nama domain yang dikenali dan popular.

Mengikut laporan pepijat, kandungan Flash dibenarkan untuk dimuatkan jika ia dihoskan pada salah satu domain terakreditasi atau jika elemen Flash lebih besar daripada 398x298 piksel.

Penyerang boleh mengeksploit senarai untuk memintas klik untuk memainkan dasar keseluruhan atau menggunakan kelemahan XSS pada beberapa laman web yang disertakan. Microsoft Edge menghormati klik Flash untuk memainkan dasar di semua laman web lain. Pengguna perlu membenarkan pelaksanaan kandungan Flash di Microsoft Edge pada tapak yang tidak tercatat.

Tidak jelas mengapa Microsoft menambah senarai putih; adalah mungkin bahawa ia berbuat demikian untuk meningkatkan keserasian di laman web tertentu. Walaupun itu akan masuk akal di laman utama seperti Flashbook yang masih menjadi tuan rumah kandungan Flash, tidak jelas parameter yang digunakan oleh Microsoft untuk membuat senarai itu.

Senarai ini menampilkan beberapa laman arked yang menganjurkan permainan Flash, tetapi tidak menyenaraikan laman arked sama-sama popular yang juga menjadi tuan rumah permainan Flash. Ia membingungkan bahawa sesetengah tapak berada dalam senarai manakala yang lain tidak. Ada kemungkinan beberapa tapak telah ditambahkan

Kami menghubungi Microsoft untuk memberi komen tetapi belum mendengarnya lagi. Kami akan mengemas kini artikel jika maklumat tambahan datang kepada cahaya.

Kata penutupan

Ia membingungkan bahawa Microsoft akan menambahkan senarai putih Flash kepada pelayar Edgenya memandangkan Microsoft tidak pernah gagal untuk menyerlahkan ciri keselamatan Edge. Membenarkan laman web untuk menjalankan kandungan Flash tanpa kebenaran pengguna sangat bermasalah dari sudut pandangan keselamatan walaupun di tapak popular.

Mengambil kawalan dan tidak mendedahkan hakikat kepada pengguna adalah sangat bermasalah bukan sahaja dari sudut pandangan keselamatan tetapi juga mengenai kepercayaan.

Sekarang Kamu : Apa yang kamu ambil mengenai ini?