Google, Microsoft can get your passwords via web browser’s spellcheck
▻https://www.bleepingcomputer.com/news/security/google-microsoft-can-get-your-passwords-via-web-browsers-spellchec
Encore une question inquiétante... même si pour cela, il faut avoir choisit la correction syntaxique améliorée et demander à voir son propre mot de passe... mais ce sont néanmoins des situations que l’on doit utiliser régulièrement... sachant que demain, ce qui est « enhanced » sera la norme standard, pour le service de l’usager, évidemment.
A tous les programmeurs : mettre l’attribut spellcheck=false dans tous les champs comportant des données sensibles (mot de passe, numéro de sécu, adresses,...). Ça évitera aussi aux usagers d’avoir des suggestions absurdes...
Extended spellcheck features in Google Chrome and Microsoft Edge web browsers transmit form data, including personally identifiable information (PII) and in some cases, passwords, to Google and Microsoft respectively.
While this may be a known and intended feature of these web browsers, it does raise concerns about what happens to the data after transmission and how safe the practice might be, particularly when it comes to password fields.
Both Chrome and Edge ship with basic spellcheckers enabled. But, features like Chrome’s Enhanced Spellcheck or Microsoft Editor when manually enabled by the user, exhibit this potential privacy risk.