قابلیت غلطیاب املایی در مرورگرهای کروم گوگل و مایکروسافت ادج (edge)، اطلاعاتی را انتقال میدهند که شامل، اطلاعات شخصی قابلشناسایی(PII) است و در برخی موارد، حتی پسورد را دودستی، تقدیم به مایکروسافت و گوگل میکنند.
درحالیکه ممکن است این ویژگیها شناخته شده باشند؛ اما باعث افزایش نگرانیها درباره این است که بعد از ارسال و بازبینی اطلاعات ما برای تصحیح غلط املایی این انتقال چقدر امن است، مخصوصاً وقتی که موضوع پسورد در میان باشد.
هر دو مرورگر کروم (chorme) و ادج (edge) بهصورت پیشفرض،غلطیاب املاییشان روشن است، غلطیاب املا مثل اصلاحکننده غلط املایی کروم یا ادیتور مایکروسافت، زمانی که بهصورت دستی توسط کاربر فعال شوند، باعث بروز این احتمال بالقوه لغو حریم خصوصی میشوند.
سرقت کلمات: این اطلاعات شخصی قابلشناسایی شماست که تصحیحکننده غلط املاییتان آن را به صاحبان فناوریهای بزرگ میفرستد.
زمانی که در حال استفاده از مرورگرهای معروفی مثل Google chrome یا Microsoft edge هستید، در صورت فعالبودن اصلاحکننده پیشرفته، اطلاعات شما به گوگل و مایکروسافت ارسال میشود.
باتوجهبه سایتی که شما در آن حضور دارید، خود کلمات شما میتوانند حاوی اطلاعات شخصی قابلشناسایی باشند؛ اما این اطلاعات فقط محدود به شماره تأمین اجتماعی، شماره بیمه اجتماعی، نام، آدرس، ایمیل، تاریخ تولد، اطلاعات مخاطبین، اطلاعات بانکی نیست و میتوانند موارد بیشتری را شامل شوند.
جاش سامیت، هم بنیانگذار و مدیر ارشد فناوری بخش جاوا اسکریپت شرکت otto-js زمانی که در حال تست و بررسی اسکریپتهای شرکت خود بودند، متوجه این موضوع شدند.
درصورتیکه Chrome Enhanced Spellcheck یا Microsoft Editor فعال باشند، تقریباً میتوان گفت که هر چیزی که شما در آن فیلد مرورگرها تایپ کنید، به گوگل یا مایکروسافت فرستاده میشود.
علاوه بر این، اگر بر روی “نمایش پسورد” کلیک کنید، enhanced spellcheck حتی دادههای شما را هم ارسال میکند و اساساً شما را میرباید.
زمانی که کاربران در حال ورود یا پرکردن فیلدها هستند، برخی از بزرگترین وبسایتهای جهان باعث در معرض خطر قراردادن ارسال PII کاربران به گوگل و مایکروسافت هستند که شامل نام کاربری، ایمیل و پسورد است. یکی از نگرانیهای مهمتر برای شرکتها، درز کردن اطلاعات مهم سازمانی و شرکتها یا داراییهای داخلی مانند پایگاههای داده و زیرساختهای ابری است.
کاربران اغلب ممکن است در سایتهایی که برای مثال برای کپی – پیست کردن رمزهای عبور مجاز نیستند، یا زمانی که احساس میکنند آن را اشتباه تایپ کردهاند، به گزینه «نمایش رمز عبور» اعتماد کنند.
بهعنوانمثال، otto-js واردکردن اطلاعات کاربری در پلتفرم Alibaba’ Cloud در مرورگر وب کروم مشاهده میکنید.
با فعالکردن enhanced spellcheck، و با فرض کلیککردن کاربر روی ویژگی «نمایش رمز عبور»، فیلدهایی شامل نام کاربری و رمز عبور به Google در googleapis.com منتقل میشوند.
چند مثال از سایتها و اطلاعاتی که انتقال میدهند:
CNN : نام کاربری و رمز عبور، زمانی که از گزینه ” نمایش پسورد” استفاده میشود.
Facebook: نام کاربری و رمز عبور، زمانی که از گزینه ” نمایش پسورد” استفاده میشود.
SSA.gov : نام کاربری و رمز عبور.
Bank of America: نام کاربری.
Verizon: نام کاربری.
یک راهحل HTML ساده : ‘spellcheck=false’
اگرچه انتقال اطلاعات فیلدها بهصورت ایمن از طریق HTTPS انجام میشود، اما ممکن است مشخص نباشد که چه اتفاقی برای دادههای کاربر پس از رسیدن به اشخاص ثالث، در این مثال، سرور Google اتفاق میافتد.
قابلیت Enhanced spell check نیاز به تأیید و فعالسازی توسط کاربر را دارد و سخنگوی گوگل این موضوع را نیز تأیید کرده است. در نظر داشته باشید که این برخلاف غلطگیر املای اولیه که به طور پیشفرض در کروم فعال است و دادهها را به Google منتقل نمیکند.
برای چککردن فعالبودن Enhanced spell check در مرورگر کروم، لینک زیر را در نوار آدرس خود کپی کنید. سپس میتوانید روشن یا خاموشکردن آن را انتخاب کنید:
chrome://settings/?search=Enhanced+Spell+Check
همانطور که از اسکرینشات مشخص است، توضیحات این ویژگی بهصراحت بیان میکند که با فعالبودن بررسی املای پیشرفته، “متنی که در مرورگر تایپ میکنید برای Google ارسال میشود.”
در مورد مرورگر Edge نیز، Microsoft Editor Spelling & Grammar Checker یک افزونه مرورگر است که برای انجام این کار باید ابتدا نصب شود.
otto-js این درز اطلاعات را “Spell-jacking” نامید و برای کاربران سرویسهای ابری مانند Office 365، Alibaba Cloud، Google Cloud – Secret Manager، Amazon AWS – Secrets Manager و LastPass ابراز نگرانی کرد.
مرورگرهای وب معمولاً فرض میکنند که مشخصه HTML «بررسی املا» وقتی از فیلدهای ورودی متن خارج میشود، به طور پیشفرض درست است. فیلد ورودی با غلط املا از طریق غلطگیر املای مرورگر وب پردازش نمیشود.
otto-js با اشاره به این واقعیت افزود که کاربران اکنون دیگر نمیتوانند متن وارد شده خود را از طریق غلطگیر املا اجرا کنند و شرکتها میتوانند خطر اشتراکگذاری PII مشتریان خود را با افزودن ‘spellcheck=false’ به همه فیلدهای ورودی کاهش دهند، اگرچه این میتواند مشکلاتی را برای کاربران ایجاد کند.
همچنین، میتوانید آن را فقط به فیلدهایی با دادههای حساس اضافه کنید. شرکتها همچنین میتوانند قابلیت «نمایش رمز عبور» را حذف کنند. این کار مانع از spell-jacking نمیشود، اما از ارسال رمزهای عبور کاربر جلوگیری میکند.
از قضا، مشاهده کردیم که فرم ورود توییتر که با گزینه “show password” همراه است، دارای ویژگی HTML “spellcheck” فیلد رمز عبور بهصراحت روی true تنظیم شده است:
بهعنوان یکلایه حفاظتی اضافهتر، کاربران Chrome و Edge میتوانند بررسی املای پیشرفته را خاموش کنند یا افزونه Microsoft Editor را از Edge حذف کنند تا زمانی که هر دو شرکت غلطگیرهای املای گسترده را اصلاح کنند تا پردازش فیلدهای حساس مانند گذرواژهها را حذف کنند.
منبع : bleepingcomputer
[/av_textblock]