Мальтийский специалист Андреас Грэх обратил внимание общественности на очередную брешь безопасности в веб-браузере Google Chrome. Уязвимость была обнаружена в новой функции Google Chrome, позволяющей сторонним разработчикам создавать расширения на JavaScript и HTML с возможностью доступа к объектам DOM.

Доступ к объектной модели документа позволяет плагину получить значения каких-либо полей форм на любом из открытых веб-сайтов, не исключением являются поля ввода логина и пароля. В рамках своей публикации, Андреас Грэх подробно рассматривает пример реализации простейшего расширения для Google Chrome, позволяющего реализовать описанный функционал. Для создания экспериментального плагина использовалась технология AJAX и библиотека jQuery. Созданное в итоге расширение отлично справлялось с перехватом логина и пароля доступа на Gmail, Facebook, Twitter и ... Читать дальше »