IT HOME 5月30日报道说,网络绿洲安全团队于5月28日发布了一篇博客文章,报道说Microsoft的OneDrive文件选择器(文件选择器)存在严重的安全弱点。它引用了一篇博客文章,并说该团队说,这种弱点的根本原因是文件选择器要求的权限过于广泛,并且缺乏对同意范围的精致控制。尽管用户仅上传一个文件,但文件选择器将需要权限来读取整个云存储驱动器。该设计使用户难以确定哪些应用程序恶意要求访问所有文件,并且由于缺乏安全性选项而被迫要求过度权限。更糟糕的是,在上传文件之前,pagetop用户的页面尚不清楚,并且未能清楚地告知实际同意范围,从而增加了安全风险。 OASIS团队警告说,在同意过程中使用的Oauth代币经常存储在“浏览器会话存储”中,在明文中非常易于攻击。此外,某些权限过程还将发布令牌的刷新,从而允许应用程序在当前令牌到期后获取新的代币而无需调情用户,从而继续访问用户数据。这种机制进一步加强了风险,这可能导致个人和公司用户的长期数据暴露。目前,微软收到了一份弱点的报告并确认了这个问题,但尚未引入Butan安排。
