Команда разработчиков недавно выпущенного браузера Chrome, заявила в официальном блоге, что работает над дальнейшим улучшением безопасности браузера, в особенности при работе с локальными страницами.
По заявлению Адама Барта (Adam Barth), инженера компании Google, у разных браузеров разная политика безопасности при работе с локальными файлами. Например Internet Explorer по умолчанию блокирует исполнение такими страницами JavaScript, однако, их можно разрешить во всплывающей информационной панели. «Мы решили не разрешать исполнение JavaScript с помощью таких информационных панелей, так как большинство пользователей не понимают влияния данной возможности на безопасность, и разрешают исполнение JavaScript для локальных страниц просто, чтобы всё работало»,- написал в блоге Барт.
В качестве примера приведена довольно простая гипотетическая атака, позволяющая украсть данные учетной записи Gmail. Для ее реализации пользователю просто необходимо открыть приложенную к письму специально сформированную страницу, а JavaScript уже передаст злоумышленнику все данные.
В будущем разрботчики планируют ввести дополнительные ограничения, для чего рассматривают несколько возможных вариантов: ограничение по папкам (как в Firefox 3) и блокирование обратной передачи данных в интернет. На данный момент при открытии локально сохраненной страницы у пользователя только запрашивается подтверждение, как в случае с исполняемым файлом.