作者 Evan | 發布日期 2022 年 09 月 23 日 8:15 [Google、Microsoft、網路]
不少使用者用瀏覽器儲存密碼,為了避免輸錯密碼,會啟動「顯示密碼」,但有可能讓密碼外洩。使用者只要在「進階拼字檢查」工具啟動的 Google Chrome 及 Microsoft Edge 瀏覽器,又啟動「顯示密碼」,使用者密碼就會以明碼上傳到 Google 及微軟伺服器。
網路安全方案商 Otto 研究指出,Google Chrome 及 Microsoft Edge 瀏覽器都有提供進階拼字檢查工具,會將使用者輸入所有內容上傳到自家伺服器。如果使用者也點選「顯示密碼」,密碼就會一起上傳至伺服器。且所有輸入內容及密碼都會以明碼儲存。
Google 及微軟皆十分注重隱私權,不致對使用者各種 Web 服務帳密資料感興趣。比起帳密,他們應對使用產品及服務的足跡更感興趣,但不論如何,這對使用者隱私而言,無異是十分明顯的疏失。
所幸「進階拼字檢查」或「顯示密碼」功能皆非預設,如果讀者從未啟動,就不會有安全疑慮,只要保持關閉即可。由於主要問題在「進階拼字檢查」工具,一旦解決,未來繼續使用「顯示密碼」功能,也不用擔心有密碼外洩風險。
言歸正傳,如果使用者有啟動 Chrome「進階拼字檢查」(Enhanced Spell Check)功能,或在 Edge 安裝「Microsoft 編輯器:拼音與文法檢查器」擴充功能,務必關閉或移除,以策安全。
Chrome 使用者可在網址列輸入「chrome://settings/languages」,頁面下半部看到「拼字檢查」頁面,將「進階拼字檢查」選項關閉。Edge 使用者可點瀏覽器右上角設定圖示,再點下拉視窗「擴充功能」,接著會跳出彈出式視窗,點取「管理擴充功能」。使用者可將頁面「Microsoft 編輯器:拼音與文法檢查器」擴充功能關閉,或直接移除。
或許 Google 及微軟不久後會釋出修補程式,但之前還是避免繼續使用兩家進階拼字檢查功能,以避免打字內容及密碼悉數外洩。
- The Advanced Spellchecker in Chrome and Edge Saves Everything You Type—Even Passwords ♣
(首圖來源:科技新報)
文章來源https://technews.tw/2022/09/23/the-advanced-spellchecker-in-chrome-and-edge-saves-everything-you-type-even-passwords/ ♣