Om Microsoft Edges hemmelige Flash-hvidliste

Microsofts Edge-webbrowser bruger en hemmelig Flash-hvidliste, der giver Flash-indhold mulighed for at køre uden klik for at spille beskyttelse på inkluderede sider.

Microsoft Edge, standardbrowser i Microsofts Windows 10-operativsystem, understøtter Adobe Flash indbygget. Flash er indstillet til at klikke for at afspille i browseren, og brugere kan muligvis deaktivere Flash helt i browserens indstillinger.

Microsoft frigiver regelmæssigt Flash-opdateringer på virksomhedens månedlige programdag for at løse sikkerhedsproblemer, der er opdaget i Flash.

For nylig kom det frem, at Microsoft implementerede en Flash-hvidliste, der gjorde det muligt for Flash-indhold at køre på 58 forskellige domæner uden brugerinteraktion. Websteder på denne liste inkluderede Deezer, Facebook, MSN-portalen, Yahoo eller QQ, men også poster, som man ikke nødvendigvis ville forvente på en sådan liste som en spansk frisørsalon.

Microsoft begrænsede listen på denne måneds opdatering af Patch Tuesday til kun to Facebook-poster og håndhævede brugen af ​​HTTPS til disse websteder, efter at en Google-ingeniør indgav en fejlrapport til virksomheden i slutningen af ​​2018.

Microsoft tilslørede listen, og Google-ingeniøren måtte knække den ved hjælp af en ordbog med kendte og populære domænenavne.

I henhold til bugrapporten får Flash-indhold tilladelse til at indlæses, hvis det er vært på et af de hvidlistede domæner, eller hvis Flash-elementet er større end 398x298 pixels.

Angribere kunne udnytte listen til at omgå klik for at spille politikker helt eller bruge XSS-sårbarheder på nogle af de inkluderede websteder. Microsoft Edge respekterer Flash-klik for at afspille politikker på alle andre sider. Brugere skal tillade udførelse af Flash-indhold i Microsoft Edge på websteder, der ikke er hvidlistet.

Det er uklart, hvorfor Microsoft tilføjede hvidlisten; det er muligt, at det gjorde det for at forbedre kompatibiliteten på udvalgte websteder. Selvom det ville give mening på større websteder som Flashbook, der stadig er vært for Flash-indhold, er det uklart, hvilke parametre Microsoft brugte til at oprette listen.

Listen indeholder nogle arkade-websteder, der er vært for Flash-spil, men viser ikke lige så populære arkade-websteder, der også er vært for Flash-spil. Det er forundrende, at nogle steder er på listen, mens andre ikke er det. Det er muligt, at nogle websteder blev tilføjet

Vi kontaktede Microsoft for kommentar, men har endnu ikke hørt tilbage. Vi opdaterer artiklen, hvis yderligere oplysninger kommer frem.

Lukende ord

Det er forundrende, at Microsoft vil tilføje en Flash-hvidliste til sin Edge-browser i betragtning af, at Microsoft aldrig undlader at fremhæve Edges sikkerhedsfunktioner. At tillade websteder at køre Flash-indhold uden brugertilladelse er meget problematisk set fra et sikkerhedsmæssigt synspunkt, selv på populære websteder.

At fjerne kontrol og ikke afsløre det faktum for brugerne er meget problematisk, ikke kun fra et sikkerhedsmæssigt synspunkt, men også når det kommer til tillid.

Nu du : Hvad er dit tag på dette?