研究人员发现:可利用Chrome扩展从网站源代码中窃取明文密码
9月2日,据媒体报道,威斯康星大学麦迪逊分校的安全研究人员发现,可以通过Chrome扩展从网站源代码中窃取纯文本密码。该问题涉及浏览器扩展可不受限制地访问其加载的网站的DOM树,从而访问用户输入字段等潜在敏感元素。许多拥有数百万访问者的网站,包括一些谷歌和Cloudflare门户网站都存在这一问题。鉴于扩展程序和网站元素之间没有任何安全边界,因此扩展可以访问源代码中可见的数据,并提取其任意内容。此外,该扩展程序可能会利用DOM API在用户输入时直接提取输入值。