Google Chrome перестанет защищать от XSS-атак?

в 7:19, , рубрики: Google Chrome, xss, xss auditor, Блог компании Инфосистемы Джет, информационная безопасность

Google Chrome перестанет защищать от XSS-атак? - 1

Google удаляет XSS Auditor из браузера Chrome после серии уязвимостей, подвергших сомнению эффективность данной функции.

На днях Анти-XSS технология была признана устаревшей и планируется к удалению, как объявили разработчики Chromium 16 июля в Google Groups проекта.

Судя по обсуждениям разработчиков Chromium, такое решение было связано с проблемами блокировки страниц многих благонадежных сайтов.

Google Chrome перестанет защищать от XSS-атак? - 2

XSS Auditor с момента своего появления в 2010 году в Chrome 4 породил более чем активные споры. За время его существования были выявлены многочисленные недостатки, ставшие причиной отказа от этой технологии.

Изначально XSS Auditor работал в режиме фильтрации: веб-ресурс загружался, но подозрительный код блокировался, что не помешало обнаружить множество способов обхода защиты.

Со временем разработчики Chrome решили переключить поведение по умолчанию в режим блокировки. Однако этот метод защиты был уязвим к атаке XS-Search/XS-Leak. Также он часто приводил к ложным срабатываниям на благонадежных ресурсах и к их блокировке для пользователей браузера.

С недавнего времени Auditor стал снова работать в режиме фильтрации по умолчанию (скорее всего, чтобы снизить негативный эффект с ложными срабатываниями и блокировкой благонадежных сайтов).

Но это решение довольно скоро вызвало сомнения в принципе в эффективности данного защитного механизма. Как отмечает Frederik Braun (Mozilla) в совместном с Mario Heiderich (Cure53) исследовании «X-Frame-Options: All about Clickjacking?», режим фильтрации является опасным подходом и вполне может быть заменен установкой заголовка X-XSS-Protection: 1; mode=block, что, в принципе, тоже не является панацеей.

Стоит отметить, что процесс отказа от XSS Auditor был предложен разработчиками Chromium еще в октябре 2018 года. При этом отмечалось, что «отсутствуют какие-либо доказательства того, что аудитор останавливает какие-либо XSS».

Google Chrome перестанет защищать от XSS-атак? - 3

В дальнейшем планируется использовать стандарт Trusted Types API, который с некоторой долей вероятности может быть применен не только в Google Chrome.

Автор: CSIRT

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js