Помилка в розгорнутому браузері Grammarly

Помилка в розгорнутому браузері Grammarly

Іноді слова важко, і тому близько 22 мільйонів людей встановили розширення Grammarly для Chrome. Грамматично обіцяє спіймати ваші помилки та помилки, але на деякий час він також розкривав ваші особисті документи для потенційного шпигунства на будь-якому веб-сайті, який ви відвідали. Це такий випадок довіри, який може призвести до загибелі для запуску.

Граммально виходить за рамки звичайної перевірки орфографії, оцінюючи структуру пропозиції та використання слова. Він працює на веб-сайтах практично в будь-якому текстовому полі, однак існує також спеціальний інтерфейс редагування, якщо ви хочете переглянути більший блок тексту. Грамматично популярний, оскільки він може вказувати на речі у вашому творі, що ви ніколи не помітите себе. Це схоже на наявність copyeditor, що живе всередині вашого комп'ютера, але для багатьох додаткових функцій потрібна платна підписка на сервіс.

Повноцінний граматичний редактор - це місце, де Греммарі потрапив у проблему. Після введення тексту в редактор, недолік зробив його доступним для всіх, хто вміє шукати його. За словами дослідника Google Project Zero Тавіса Орманді, розширення має критичну помилку, яка викривала токен авторизації користувача. Це так добре, як передача вашого імені користувача та пароля.

З вашим авторизованим токеном, веб-сайт може ввійти в службу Grammarly як ви. Це означає, що всі ваші документи, збережені в Grammarly, будуть доступними. Якщо ви відмовилися від електронного листа до свого адвоката або вашої важливої ​​іншої у редакторі програми Grammarly, вони відкрили для участі у відкритому засіданні, щоб хтось захопив їх. На щастя, текст, який ви набрали на інших веб-сайтах, що просто сканували на льоту Grammarly, ніколи не було під загрозою.

Цей код демонструє, як веб-сайт може витягнути свій автентик із Grammarly.
Цей код демонструє, як веб-сайт може витягнути свій автентик із Grammarly.

За його словами, Grammarly діє швидко, коли попереджається Project Zero. Розробники висунули оновлення, яке виправлено захисну дірку, яка, в першу чергу, надав відкриті токени. Компанія стверджує, що немає доказів того, що будь-які веб-сайти експлуатували цю вразливість, щоб викрасти дані користувачів. Це говорить про те, що Тавіс Орманді був першим, хто визначив проблему, що є причиною того, що Google Project Zero існує.

Якщо якийсь інтернет-злочинець знайшов цю дірку перед Ормандією, то, можливо, було б багато розчарування користувачів Grammarly. Це, мабуть, було б кінець "Граматичного" як компанії. Отже, не існує жодної надзвичайної ситуації - вам не потрібно запускати на свій комп'ютер і грати «Граматично». Просто переконайтеся, що всі ваші розширення для Chrome налаштовані на автоматичне оновлення.

Читати далі

Власники Google Pixel Slate повідомляють про помилку Flash Storage
Власники Google Pixel Slate повідомляють про помилку Flash Storage

Форуми підтримки продуктів Google заповнені розлюченими власниками Pixel Slate, які кажуть, що їх пристрої часто стикаються з помилками сховища.

Нова помилка безпеки MacOS відкриває App Store з будь-яким паролем
Нова помилка безпеки MacOS відкриває App Store з будь-яким паролем

MacOS High Sierra Apple має недоліки в останній версії, що дозволяє користувачам адміністрування обійти заблокований магазин додатків, ввівши будь-який пароль, який їм подобається.

Дослідники виявили ще одну серйозну помилку безпеки в процесорах Intel
Дослідники виявили ще одну серйозну помилку безпеки в процесорах Intel

Дослідники з безпеки виявили ще один недолік процесорів Intel - цього разу пов'язана технологія Intel Active Management. Ще раз цей недолік може бути використаний для повного контролю за системою, незалежно від заходів безпеки, які користувач може використовувати.

EA залишається прихильником мікротанкцій, і це частково наша помилка
EA залишається прихильником мікротанкцій, і це частково наша помилка

З загальним доходом в 1,3 млрд. Доларів США за останній квартал, цілком 787 млн. Доларів США - з живих послуг. Тільки 260 мільйонів доларів США надійшло за рахунок повного продажу гри.