О секретном белом списке Microsoft Edge для Flash

Веб-браузер Microsoft Edge использует секретный белый список Flash, который позволяет запускать Flash-контент без щелчка, чтобы воспроизвести защиту на включенных сайтах.

Microsoft Edge, браузер по умолчанию в операционной системе Microsoft Windows 10, изначально поддерживает Adobe Flash. Flash настроен на воспроизведение по щелчку в браузере, и пользователи может полностью отключить Flash в настройках браузера.

Microsoft выпускает обновления Flash регулярно в день ежемесячных исправлений компании, чтобы исправить проблемы безопасности, обнаруженные во Flash.

Выяснилось Недавно Microsoft внедрила белый список Flash, который позволил Flash-контенту запускаться в 58 различных доменах без вмешательства пользователя. Сайты в этом списке включали Deezer, Facebook, портал MSN, Yahoo или QQ, а также записи, которых не обязательно ожидать в таком списке, как испанская парикмахерская.

Microsoft ограниченное список обновлений Patch Tuesday в этом месяце до двух записей Facebook и принудительное использование HTTPS для этих сайтов после того, как инженер Google отправил в компанию отчет об ошибке в конце 2018 года.

Microsoft запутанный список, и инженеру Google пришлось его взломать, используя словарь известных и популярных доменных имен.

Согласно отчету об ошибке, Flash-контент может загружаться, если он размещен на одном из доменов из белого списка или если размер Flash-элемента превышает 398×298 пикселей.

Злоумышленники могут использовать список, чтобы полностью обойти политику щелчка для воспроизведения или использовать XSS-уязвимости на некоторых из включенных сайтов. Microsoft Edge соблюдает правила Flash Click to Play на всех других сайтах. Пользователям необходимо разрешить выполнение Flash-контента в Microsoft Edge на сайтах, не внесенных в белый список.

Непонятно, почему Microsoft добавила белый список; возможно, это было сделано для улучшения совместимости на некоторых сайтах. Хотя это имело бы смысл для крупных сайтов, таких как Flashbook, на которых все еще размещается Flash-контент, неясно, какие параметры Microsoft использовала для создания списка.

В списке представлены некоторые аркадные сайты, на которых размещены Flash-игры, но не перечислены не менее популярные аркадные сайты, на которых также размещены Flash-игры. Вызывает недоумение то, что одни сайты есть в списке, а другие нет. Возможно, что были добавлены какие-то сайты

Мы связались с Microsoft для получения комментариев, но пока не получили ответа. Мы обновим статью, если появится дополнительная информация.

Вывод

Вызывает недоумение то, что Microsoft добавила белый список Flash в свой браузер Edge, учитывая, что Microsoft никогда не упускает из виду функции безопасности Edge. Разрешить сайтам запускать Flash-контент без разрешения пользователя очень проблематично с точки зрения безопасности даже на популярных сайтах.

Отказ от контроля и не раскрытие факта пользователям очень проблематично не только с точки зрения безопасности, но и с точки зрения доверия.

Теперь ваша очередь : Что вы думаете об этом?