Google表示,Chrome瀏覽器上的自動填充功能非常方便,但存在安全漏洞。
本周Chrome瀏覽器的下一個版本,在十月的到來,將嘗試從完成對所提交不安全的安全網頁形式阻止用戶。
當前的問題似乎是安全的HTTPS網站(以「 https」開頭並在網站地址左側顯示關閉的鎖定圖標的網頁)。有時,這些網站可能包含不安全的表格,並要求用戶填寫敏感的個人和財務數據。
谷歌說: 「這些「混合表格」……對用戶的安全和隱私構成風險,並補充說:「竊聽者可以看到在這些表格上提交的信息,從而允許惡意方讀取或更改敏感的表格數據。」
例如,用戶會收到有關自動填充的警告,該功能是一種廣泛使用的Chrome功能,該功能會自動使用保存的地址或付款信息填寫表單。
如果您開始填寫混合表格,您將看到一條警告,警告您表格不安全並且自動填充已關閉。如果仍然繼續,您將看到有關風險的「整頁警告」,並確認您仍然要提交表格。
谷歌表示,在86版本之前,唯一的單調用戶是從地址欄中刪除了鎖定圖標。
歌表示:「我們發現用戶不清楚這種體驗,並且無法有效地傳達與以不安全的形式提交數據有關的風險。」
加利福尼亞州聖何塞的WhiteHat Security首席安全工程師Ray Kelly表示:「沒有這項新功能,用戶將不知道自己會公開讓潛在的敏感信息被惡意行為者竊取。」應用安全性告訴福克斯新聞。
Google指出,但是,雖然將禁用自動填充功能,但在具有登錄名和密碼提示的混合形式上,Chrome的密碼管理器將繼續幫助用戶輸入唯一的密碼。
谷歌補充說:「即使在不安全提交的表單上使用唯一密碼,也比重複使用密碼更安全。」 Google之前曾警告過,在不同的網站上重複使用密碼是一個很大的禁忌。
使表單更安全是Google加強敏感數據安全性工作的一部分。該公司在7月底宣布,用戶現在可以使用生物識別技術確認其信用卡。
目前,如果用戶將信用卡保存到自己的Google帳戶,則Chrome會要求用戶通過在完整的信用卡號自動填寫到表格之前輸入其CVC來確認其信用卡。
谷歌在七月份表示:「展望未來,Chrome瀏覽器將允許您註冊設備以通過生物識別身份驗證來檢索卡號,例如指紋。」
用戶在首次使用信用卡時仍需要提供您的CVC。之後,用戶可以使用生物識別身份驗證來確認其信用卡-避免了每次掏錢錢包和鍵入CVC的麻煩。
生物特徵認證是可選的,用戶可以在Chrome設置中啟用和禁用此功能。