Informacje o tajnej białej liście Flash firmy Microsoft Edge

Przeglądarka Microsoft Edge używa tajnej białej listy Flash, która pozwala na uruchamianie zawartości Flash bez klikania, aby odtworzyć ochronę na dołączonych stronach.

Microsoft Edge, domyślna przeglądarka systemu operacyjnego Microsoft Windows 10, obsługuje natywnie Adobe Flash. Flash jest ustawiony na „kliknij, aby odtworzyć” w przeglądarce, a użytkownicy mogą całkowicie wyłączyć Flash w ustawieniach przeglądarki.

Firma Microsoft regularnie wydaje aktualizacje Flash w comiesięczny dzień łat firmy, aby naprawić problemy bezpieczeństwa wykryte we Flashu.

Niedawno wyszło na jaw, że Microsoft wdrożył białą listę Flash, która pozwoliła na uruchamianie zawartości Flash w 58 różnych domenach bez interakcji użytkownika. Witryny na tej liście zawierały Deezer, Facebook, portal MSN, Yahoo lub QQ, ale także wpisy, których niekoniecznie można się spodziewać na takiej liście, jak hiszpański salon fryzjerski.

Microsoft ograniczył listę w aktualizacji z tego miesiąca do tylko dwóch wpisów na Facebooku i wymusił użycie HTTPS w tych witrynach po tym, jak inżynier Google złożył raport o błędzie w firmie pod koniec 2018 roku.

Microsoft zaciemnił listę, a inżynier Google musiał ją złamać za pomocą słownika znanych i popularnych nazw domen.

Zgodnie z raportem o błędzie zawartość Flash może się ładować, jeśli jest hostowana w jednej z domen na białej liście lub jeśli element Flash ma rozmiar większy niż 398 x 298 pikseli.

Atakujący mogą wykorzystać tę listę, aby całkowicie ominąć zasady „kliknij, aby odtworzyć” lub wykorzystać luki XSS na niektórych z dołączonych stron. Microsoft Edge przestrzega zasad Flash kliknij, aby odtworzyć zasady we wszystkich innych witrynach. Użytkownicy muszą zezwalać na wykonywanie treści Flash w Microsoft Edge w witrynach nie znajdujących się na białej liście.

Nie jest jasne, dlaczego Microsoft dodał białą listę; możliwe, że tak się stało, aby poprawić zgodność na wybranych stronach. Chociaż miałoby to sens w dużych witrynach, takich jak Flashbook, które nadal przechowują zawartość Flash, nie jest jasne, jakich parametrów Microsoft użył do utworzenia listy.

Lista zawiera niektóre witryny zręcznościowe obsługujące gry Flash, ale nie zawiera równie popularnych witryn zręcznościowych, które również obsługują gry Flash. Zastanawiające jest to, że niektóre witryny znajdują się na liście, a inne nie. Możliwe, że niektóre strony zostały dodane

Skontaktowaliśmy się z firmą Microsoft w sprawie komentarza, ale jeszcze nie otrzymaliśmy odpowiedzi. Zaktualizujemy ten artykuł, jeśli pojawią się dodatkowe informacje.

Końcowe słowa

Zastanawiające jest to, że Microsoft dodałby białą listę Flash do swojej przeglądarki Edge, biorąc pod uwagę, że Microsoft nigdy nie ignoruje funkcji bezpieczeństwa Edge. Zezwalanie witrynom na uruchamianie treści Flash bez zgody użytkownika jest bardzo problematyczne z punktu widzenia bezpieczeństwa, nawet w popularnych witrynach.

Odebranie kontroli i nieujawnienie tego faktu użytkownikom jest bardzo problematyczne nie tylko z punktu widzenia bezpieczeństwa, ale także jeśli chodzi o zaufanie.

Teraz ty : jakie jest twoje zdanie na ten temat?