Acerca de la lista blanca secreta secreta de Microsoft Edge

Los usuarios del navegador web Edge de Microsoft tienen una lista blanca secreta de Flash que permite que el contenido Flash se ejecute sin hacer clic para reproducir la protección en los sitios incluidos.

Microsoft Edge, el navegador predeterminado del sistema operativo Windows 10 de Microsoft, admite Adobe Flash de forma nativa. Flash está configurado para hacer clic y reproducir en el navegador, y los usuarios pueden deshabilitar Flash por completo en la configuración del navegador.

Microsoft lanza actualizaciones de Flash regularmente en el día de parche mensual de la compañía para solucionar problemas de seguridad descubiertos en Flash.

Recientemente se descubrió que Microsoft implementó una lista blanca de Flash que permitía que el contenido de Flash se ejecutara en 58 dominios diferentes sin interacción del usuario. Los sitios en esa lista incluyen Deezer, Facebook, el portal de MSN, Yahoo o QQ, pero también entradas que uno no necesariamente esperaría en una lista como una peluquería española.

Microsoft limitó la lista de la actualización de Patch Tuesday de este mes a solo dos entradas de Facebook e impuso el uso de HTTPS para estos sitios después de que un ingeniero de Google presentó un informe de error con la compañía a fines de 2018.

Microsoft ofuscó la lista y el ingeniero de Google tuvo que descifrarla usando un diccionario de nombres de dominio conocidos y populares.

Según el informe de error, el contenido de Flash se puede cargar si está alojado en uno de los dominios incluidos en la lista blanca o si el elemento de Flash es mayor que 398x298 píxeles.

Los atacantes podrían explotar la lista para omitir por completo las políticas de clic para jugar o utilizar vulnerabilidades XSS en algunos de los sitios incluidos. Microsoft Edge respeta las políticas de clic para reproducir de Flash en todos los demás sitios. Los usuarios deben permitir la ejecución de contenido Flash en Microsoft Edge en sitios no incluidos en la lista blanca.

No está claro por qué Microsoft agregó la lista blanca; es posible que lo haya hecho para mejorar la compatibilidad en sitios seleccionados. Si bien eso tendría sentido en sitios importantes como Flashbook que aún alojan contenido Flash, no está claro qué parámetros usó Microsoft para crear la lista.

La lista presenta algunos sitios arcade que alojan juegos Flash, pero no enumera sitios arcade igualmente populares que también alojan juegos Flash. Es sorprendente que algunos sitios estén en la lista mientras que otros no. Es posible que se hayan agregado algunos sitios

Contactamos a Microsoft para obtener comentarios, pero aún no hemos recibido respuesta. Actualizaremos el artículo si sale a la luz información adicional.

Palabras de clausura

Es sorprendente que Microsoft agregue una lista blanca de Flash a su navegador Edge, ya que Microsoft nunca deja de resaltar las características de seguridad de Edge. Permitir que los sitios ejecuten contenido Flash sin permiso del usuario es muy problemático desde un punto de vista de seguridad, incluso en sitios populares.

Quitar el control y no revelar el hecho a los usuarios es muy problemático no solo desde el punto de vista de la seguridad, sino también cuando se trata de confiar.

Ahora tú : ¿Cuál es tu opinión sobre esto?