如果您喜欢彻底并使用高级拼写检查器,我们有一些坏消息 – 您的个人信息可能处于危险之中。
在Google Chrome 和 Microsoft Edge中使用扩展拼写检查会传输您输入的所有内容,以便对其进行检查。不幸的是,这包括应该严格加密的信息,例如密码。
这个问题最初由 JavaScript 安全公司 otto-js 报告,是在该公司测试其脚本行为检测时意外发现的。 otto-js 的联合创始人兼首席技术官 Josh Summitt 解释说,您在启用了高级拼写检查器的表单字段中输入的几乎所有内容都会随后传输到 Google 和 Microsoft。
“如果你点击‘显示密码’,增强的拼写检查甚至会发送你的密码,实际上是在拼写你的数据,”otto-js 在其报告中说。 “当用户登录或填写表格时,世界上一些最大的网站可能会向谷歌和微软发送敏感的用户 PII [个人身份信息],包括用户名、电子邮件和密码。对于公司来说,一个更重要的担忧是,这会使公司的企业凭证暴露在数据库和云基础设施等内部资产中。”
许多人使用“显示密码”来确保他们没有打错字,因此潜在地,很多密码在这里可能存在风险。 Bleeping Computer对此进行了进一步测试,发现在 CNN 和 Facebook 上输入您的用户名和密码会将数据发送给 Google,而 SSA.gov、美国银行和 Verizon 只发送用户名。
Microsoft Edge 和Google Chrome都带有非常基本的内置拼写检查器。这些工具不需要任何进一步的验证——您输入的内容会保留在您的浏览器中。但是,如果您使用 Chrome 的增强拼写检查或 Microsoft 的编辑器拼写和语法检查器,您在浏览器中键入的所有内容都会分别发送到 Google 和 Microsoft。
这本身并不出人意料。当您在 Chrome 中启用增强型拼写检查器时,浏览器会告诉您“您在浏览器中键入的文本将发送给 Google”。但是,许多人会认为这不包括经常以表格形式提交的 PII。
严重程度取决于您访问的网站。某些表格数据可能包括社会安全号码和社会保险号码、您的全名、地址和付款信息。登录凭据也属于此类别。
为了使用改进的拼写检查器,您的输入被发送到浏览器之外是可以理解的,但是当个人数据也接受相同的处理时,很难不质疑这有多安全。
如何保持安全
如果您不希望将您的个人数据传输给 Microsoft 和 Google,您应该暂时停止使用高级拼写检查器。这意味着在您的 Chrome 设置中禁用该功能。只需将其复制并粘贴到浏览器的地址栏中: chrome://settings/?search=Enhanced+Spell+Check。
对于 Microsoft Edge,高级拼写检查器以浏览器插件的形式出现,因此只需在浏览器中右键单击该扩展程序的图标,然后点击从 Microsoft Edge 中删除。
Google 已确保不会将任何用户身份附加到它为拼写检查程序处理的数据中。但是,它将完全排除密码。微软表示将调查这个问题,但除此之外还没有跟进 Bleeping Computer。微软目前对 Edge 有另一个问题: 黑客正在使用它来进行恶意广告活动。