Microsoftov spletni brskalnik Edge uporablja skrivni seznam beležk Flash, ki omogoča, da se Flash vsebine zaženejo brez klika, da se zaščiti na vključenih spletnih mestih.
Microsoft Edge, privzeti brskalnik Microsoftovega operacijskega sistema Windows 10, domače podpira Adobe Flash. Flash je v brskalniku nastavljen tako, da se klikne za predvajanje, in uporabniki lahko Flash v celoti onemogočijo v nastavitvah brskalnika.
Microsoft redno objavlja posodobitve Flash na mesečni dan podjetja, da odpravi varnostne težave, odkrite v Flashu.
Pred kratkim se je pokazalo, da je Microsoft uvedel Flash-ov seznam dovoljenj, ki je omogočal, da se Flash vsebine izvajajo na 58 različnih domenah brez interakcije uporabnika. Spletna mesta na tem seznamu so vključevala Deezer, Facebook, MSN portal, Yahoo ali QQ, vendar tudi navedbe, ki jih na takem seznamu, kot je španski frizerski salon, ne bi nujno pričakovali.
Microsoft je seznam omejil na mesečni posodobitvi torka Patch Tuesday na samo dva vnosa v Facebook in uveljavil uporabo HTTPS za ta spletna mesta, potem ko je Googlov inženir konec leta 2018 družbi predložil poročilo o napakah.
Microsoft je seznam zatemnil, Googlov inženir pa ga je moral razbiti s slovarjem znanih in priljubljenih domenskih imen.
V skladu s poročilom o napakah se lahko vsebina Flash naloži, če gostuje na eni od domen s seznami ali če je element Flash večji od 398x298 slikovnih pik.
Napadalci lahko izkoristijo seznam, da zaobidejo klike, da se v celoti igrajo, ali uporabijo ranljivosti XSS na nekaterih vključenih mestih. Microsoft Edge spoštuje Flash klik, da se predvaja pravilnike na vseh drugih spletnih mestih. Uporabniki morajo omogočiti izvajanje vsebine Flash v programu Microsoft Edge na spletnih mestih, ki niso na seznamu.
Ni jasno, zakaj je Microsoft dodal beli seznam; možno je, da je to storilo za izboljšanje združljivosti na izbranih mestih. Čeprav bi bilo to smiselno na večjih mestih, kot je Flashbook, ki še vedno gostijo Flash-jevo vsebino, ni jasno, katere parametre je Microsoft uporabil za izdelavo seznama.
Na seznamu so nekatera spletna mesta z arkadami, ki gostijo Flash igre, vendar ne navaja enako priljubljenih arkadnih mest, ki gostijo tudi Flash igre. Zmedeno je, da so nekatera spletna mesta na seznamu, druga pa ne. Možno je, da so bila dodana nekatera spletna mesta
Za komentar smo se obrnili na Microsofta, vendar se še nismo oglasili. Članek bomo posodobili, če bodo na voljo dodatne informacije.
Zaključne besede
Zmedeno je, da bi Microsoft svojemu brskalniku Edge dodal seznam belih Flash, saj Microsoft nikoli ne izpostavi varnostnih funkcij Edgea. Dovoljenje spletnim mestom za zagon vsebine Flash brez dovoljenja uporabnika je z varnostnega vidika zelo problematično tudi na priljubljenih spletnih mestih.
Prevzeti nadzor in ne razkriti dejstev uporabnikom je zelo problematično ne le z varnostnega vidika, ampak tudi, ko gre za zaupanje.
Zdaj vi : Kaj ste sprejeli?
