关于Microsoft Edge的秘密Flash白名单
Microsoft的Edge网络浏览器为用户提供了一个秘密的Flash白名单,该白名单允许Flash内容运行,而无需单击即可在包含的站点上发挥保护作用。
Microsoft Edge是Microsoft Windows 10操作系统的默认浏览器,本机支持Adobe Flash。Flash在浏览器中设置为点击播放,用户可以在浏览器的设置中完全禁用Flash。
Microsoft会在公司的每月补丁日定期发布Flash更新,以修复Flash中发现的安全问题。
它来到光最近,微软实现了一个闪光的白名单,允许Flash内容,而无需用户交互的58个不同的域中运行。该列表中的网站包括Deezer,Facebook,MSN门户,Yahoo或QQ,但也不一定像西班牙发廊这样的列表中的条目。
边缘闪光灯禁用
在Google工程师于2018年底向公司提交错误报告后,微软将本月补丁周二更新中的列表限制为仅两个Facebook条目,并在这些网站上强制使用HTTPS。
微软对此列表进行了模糊处理,谷歌工程师不得不使用已知和流行域名的字典来破解它。
根据错误报告,如果Flash内容托管在列入白名单的域之一中,或者Flash元素大于398x298像素,则允许加载Flash内容。
攻击者可能利用此列表来绕过单击以完全播放策略,或者在某些包含的站点上使用XSS漏洞。Microsoft Edge尊重Flash单击以在所有其他站点上播放策略。用户需要允许在非列入白名单的站点上的Microsoft Edge中执行Flash内容。
目前尚不清楚微软为什么要添加白名单。这样做可能会改善某些站点上的兼容性。尽管在仍托管Flash内容的主要网站(如Flashbook)上讲得通,但不清楚Microsoft用于创建列表的参数。
该列表列出了一些托管Flash游戏的街机网站,但未列出同样托管Flash游戏的同样受欢迎的街机网站。令人困惑的是,有些站点在列表中,而其他站点不在列表中。可能添加了一些站点
我们联系Microsoft征求意见,但尚未收到回复。如果有更多信息,我们将更新本文。
结束语
考虑到Microsoft永远不会强调Edge的安全功能,Microsoft会将Flash白名单添加到其Edge浏览器中令人困惑。从安全的角度来看,即使是在受欢迎的网站上,允许网站未经用户许可运行Flash内容也存在很大问题。
不仅从安全角度来看,而且在涉及信任时,放弃控制权而不向用户透露事实是一个很大的问题。