Корисници Мицрософтовог веб претраживача Едге користе тајну Фласх списак датотека која омогућава покретање Фласх садржаја без клика да би се играла заштита на укљученим веб локацијама.
Мицрософт Едге, подразумевани прегледач Мицрософтовог оперативног система Виндовс 10, изворно подржава Адобе Фласх. Фласх је подешен да се кликне за репродукцију у прегледачу, а корисници могу у потпуности да онемогуће Фласх у подешавањима прегледача.
Мицрософт редовно објављује ажурирања за Фласх на месечни дан закрпе компаније да би решио безбедносне проблеме откривене у Фласх-у.
Недавно је дошло до сазнања да је Мицрософт имплементирао Фласх списак датотека који је омогућавао Фласх садржај да се покреће на 58 различитих домена без интеракције корисника. Веб локације на тој листи укључују Деезер, Фацебоок, МСН портал, Иахоо или КК, али такође и ставке које на таквој листи не би требало очекивати попут шпанског фризерског салона.
Мицрософт је ограничио листу на овосезонском ажурирању Патцх Туесдаи-а на само два уноса на Фацебооку и наметнуо употребу ХТТПС-а за те веб локације након што је Гооглеов инжењер крајем 2018. године поднио извештај о погрешци компанији.
Мицрософт је збунио листу и Гоогле инжењер је морао да је провали користећи речник познатих и популарних имена домена.
Према извештају о грешци, Фласх садржају је дозвољено учитавање ако се он налази на неком од домена са беле листе или ако је Фласх елемент већи од 398к298 пиксела.
Нападачи могу да искористе листу да би заобишли клик како би се у потпуности играли политике или користили КССС рањивости на неким од укључених локација. Мицрософт Едге поштује Фласх клик да би се репродуковао на свим осталим веб локацијама. Корисници морају да дозволе извршавање Фласх садржаја у програму Мицрософт Едге на веб локацијама које нису на листи.
Нејасно је зашто је Мицрософт додао списак; могуће је да је то учинио како би побољшао компатибилност на одабраним веб локацијама. Иако би то имало смисла на већим веб локацијама попут Фласхбоока који и даље садрже Фласх садржај, нејасно је које је параметре Мицрософт користио да би направио листу.
На листи се налазе неке аркадне странице на којима се налазе Фласх игре, али не наводе се једнако популарне аркадне странице које такође садрже Фласх игре. Збуњујуће је то што су неке веб локације на списку, а друге нису. Могуће је да су додане неке веб локације
Контактирали смо Мицрософт за коментар, али се још нисмо чули. Чланак ћемо ажурирати ако се појаве додатне информације.
Завршне речи
Збуњујуће је што ће Мицрософт додати свој списак Фласх датотека у свој прегледач Едге сматрајући да Мицрософт никада не успева да истакне Едгеове безбедносне функције. Допуштање веб локацијама да покрећу Фласх садржај без одобрења корисника изузетно је проблематично са безбедносног становишта чак и на популарним веб локацијама.
Преузимање контроле и неоткривање чињеница корисницима је веома проблематично, не само са безбедносног становишта, већ и када се ради о поверењу.
Сада ви : Шта мислите о овоме?
