研究人员发现：可利用Chrome扩展从网站源代码中窃取明文密码

9月2日，据媒体报道，威斯康星大学麦迪逊分校的安全研究人员发现，可以通过Chrome扩展从网站源代码中窃取纯文本密码。该问题涉及浏览器扩展可不受限制地访问其加载的网站的DOM树，从而访问用户输入字段等潜在敏感元素。许多拥有数百万访问者的网站，包括一些谷歌和Cloudflare门户网站都存在这一问题。鉴于扩展程序和网站元素之间没有任何安全边界，因此扩展可以访问源代码中可见的数据，并提取其任意内容。此外，该扩展程序可能会利用DOM API在用户输入时直接提取输入值。