Google удаляет XSS Auditor из браузера Chrome после серии уязвимостей, подвергших сомнению эффективность данной функции.
На днях Анти-XSS технология была признана устаревшей и планируется к удалению, как объявили разработчики Chromium 16 июля в Google Groups проекта.
Судя по обсуждениям разработчиков Chromium, такое решение было связано с проблемами блокировки страниц многих благонадежных сайтов.
XSS Auditor с момента своего появления в 2010 году в Chrome 4 породил более чем активные споры. За время его существования были выявлены многочисленные недостатки, ставшие причиной отказа от этой технологии.
Изначально XSS Auditor работал в режиме фильтрации: веб-ресурс загружался, но подозрительный код блокировался, что не помешало обнаружить множество способов обхода защиты.
Со временем разработчики Chrome решили переключить поведение по умолчанию в режим блокировки. Однако этот метод защиты был уязвим к атаке XS-Search/XS-Leak. Также он часто приводил к ложным срабатываниям на благонадежных ресурсах и к их блокировке для пользователей браузера.
С недавнего времени Auditor стал снова работать в режиме фильтрации по умолчанию (скорее всего, чтобы снизить негативный эффект с ложными срабатываниями и блокировкой благонадежных сайтов).
Но это решение довольно скоро вызвало сомнения в принципе в эффективности данного защитного механизма. Как отмечает Frederik Braun (Mozilla) в совместном с Mario Heiderich (Cure53) исследовании «X-Frame-Options: All about Clickjacking?», режим фильтрации является опасным подходом и вполне может быть заменен установкой заголовка X-XSS-Protection: 1; mode=block, что, в принципе, тоже не является панацеей.
Стоит отметить, что процесс отказа от XSS Auditor был предложен разработчиками Chromium еще в октябре 2018 года. При этом отмечалось, что «отсутствуют какие-либо доказательства того, что аудитор останавливает какие-либо XSS».
В дальнейшем планируется использовать стандарт Trusted Types API, который с некоторой долей вероятности может быть применен не только в Google Chrome.
Автор: CSIRT