浏览器的安全设计及网站漏洞，让浏览器扩展可存取用户密码等机密资料

浏览器的安全设计及网站漏洞，让浏览器扩展可存取用户密码等机密资料 来自美国威斯康辛大学麦迪逊分校（University of Wisconsin–Madison）的3名研究人员上周发表了一篇研究报告，指出坊间主要浏览器的粗粒度权限模型（Coarse-Grained Permission Model）违反两项安全设计准则，再加上网站上的输入栏位含有安全漏洞，将足以让骇客借由浏览器扩充程式取得使用者所输入的机密资料，包括密码与信用卡资讯。 研究人员所调查的浏览器涵盖Google Chrome、Mozilla Firefox与苹果Safari，并宣称它们在处理文字输入栏位的权限时，并未遵循最低权限及完全仲裁（Complete Mediation）原则，前者指的是系统应该仅具备最低限度的必要存取权限，后者则是每次的存取都应检查权限。 研究人员分析了Chrome Web Store中的17,300款扩充程式，发现当中有12.5%具备汲取所有网页上机密资讯的必要权限，包括拥有超过1,000万名使用者的AdBlockPlus及优惠券程式Honey。此外，还有190款扩充程式可以直接存取密码栏位。