Google 'DOM XSS को मिटाने' के लिए नई Chrome सुरक्षा सुविधा पर काम कर रहा है

  • Sep 05, 2023

Google ने विश्वसनीय प्रकार ब्राउज़र एपीआई की घोषणा की, जो DOM-आधारित XSS हमलों के खिलाफ एक नया बचाव है।

Google ने एक नया ब्राउज़र API बनाया है जो Chrome को कुछ प्रकार की क्रॉस-साइट स्क्रिप्टिंग (XSS) से लड़ने में मदद करेगा कमजोरियाँ, उपयोगकर्ताओं को हैकिंग से सुरक्षित रखने के लिए ब्राउज़र स्तर पर सुरक्षा का एक और स्तर जोड़ना प्रयास.

सुरक्षा

  • अत्यधिक सुरक्षित दूरस्थ श्रमिकों की 8 आदतें
  • अपने फोन से स्पाइवेयर कैसे ढूंढें और हटाएं
  • सर्वोत्तम वीपीएन सेवाएँ: शीर्ष 5 की तुलना कैसे की जाती है?
  • कैसे पता करें कि आप डेटा उल्लंघन में शामिल हैं - और आगे क्या करें

इस नए फीचर को ट्रस्टेड टाइप्स कहा जाता है और यह एक ब्राउज़र एपीआई है जिस पर Google पिछले महीनों से काम कर रहा है।

कंपनी के इंजीनियरों ने रोलिंग से पहले क्रोम 73 और क्रोम 76 के बीच पूरे 2018 में विश्वसनीय प्रकारों का परीक्षण करने की योजना बनाई है इसे वर्ष के अंत में सभी क्रोम उपयोगकर्ताओं के लिए एक स्थायी सुरक्षा सुविधा के रूप में सक्षम किया जाएगा - यदि सब कुछ योजना के अनुसार होता है।

यह नई सुरक्षा सुविधा उपयोगकर्ताओं को तीन प्रकार की क्रॉस-साइट स्क्रिप्टिंग खामियों में से एक से बचाने के इरादे से विकसित की गई थी - अर्थात्

DOM-आधारित (या टाइप-0) XSS.

अन्य दो XSS प्रकार "प्रतिबिंबित" और "संग्रहीत" हैं। तीनों XSS प्रकारों का विस्तृत विवरण उपलब्ध है यहाँ, XSS पर अधिक जानने के इच्छुक पाठकों के लिए।

मूल रूप से, DOM-आधारित XSS एक सुरक्षा भेद्यता है जो किसी वेबसाइट के स्रोत कोड में रहती है। हैकर्स इसमें कोड डालने के लिए तथाकथित इंजेक्शन बिंदुओं का लाभ उठाते हैं ब्राउज़र का DOM (पेज का स्रोत कोड) जो अवांछित दुर्भावनापूर्ण कार्यों को अंजाम देता है - जैसे कुकीज़ चुराना, पेज सामग्री में हेरफेर करना, उपयोगकर्ताओं को पुनर्निर्देशित करना, आदि।

विश्वसनीय प्रकार वेबसाइट मालिकों को वेबसाइट के कोड में ज्ञात "इंजेक्शन बिंदुओं" को लॉक करने की अनुमति देकर ऐसे हमलों को रोक देंगे जो अक्सर DOM-आधारित XSS का मूल कारण होते हैं।

वेबसाइट मालिक सामग्री सुरक्षा नीति (सीएसपी) HTTP प्रतिक्रिया शीर्षलेख में एक निश्चित मान सेट करके क्रोम के विश्वसनीय प्रकार की आगामी सुरक्षा को सक्षम कर सकते हैं।

एक बार सक्षम होने पर, DOM इंजेक्शन बिंदुओं तक पहुंच Chrome के अंतर्निहित विश्वसनीय प्रकार API द्वारा प्रतिबंधित कर दी जाएगी, XSS शोषण कोड से पहले किसी भी हमले को रोकना हमले के लिए DOM (पेज का स्रोत कोड) का लाभ उठा सकता है उपयोगकर्ता.

वेबसाइट के मालिक सीएसपी हेडर के माध्यम से विश्वसनीय प्रकार को कैसे सक्षम कर सकते हैं, और उपयोगकर्ता विश्वसनीय प्रकार एपीआई के शुरुआती संस्करणों का उपयोग करने के लिए क्रोम को कैसे कॉन्फ़िगर कर सकते हैं, इस पर एक ट्यूटोरियल उपलब्ध है। Google डेवलपर्स ब्लॉग.

उसी ट्यूटोरियल में, सूचना सुरक्षा इंजीनियरिंग टीम में एक सॉफ्टवेयर इंजीनियर क्रिज़िस्तोफ़ कोटोविक्ज़ Google, विश्वसनीय प्रकार API की सफलता के प्रति इतना आश्वस्त था कि उसने दावा किया कि यह नई सुविधा "मिटाने में मदद करेगी।" डोम एक्सएसएस।"

विश्वसनीय प्रकार एपीआई पर अधिक जानकारी वेब प्लेटफ़ॉर्म इनक्यूबेटर कम्युनिटी ग्रुप (डब्ल्यूआईसीजी) में उपलब्ध है। आधिकारिक विशिष्टता.

विश्वसनीय प्रकार क्रोम की दूसरी XSS सुरक्षा सुविधा होगी एक्सएसएस ऑडिटर, जिसे Google ने 2010 में Chrome 4 के साथ शिप किया था।

एक के अनुसार इम्पेर्वा रिपोर्ट पिछले महीने प्रकाशित, XSS कमजोरियाँ 2014, 2015, 2016 और 2017 में वेब-आधारित हमलों का सबसे प्रचलित रूप थीं। यह पिछले साल वेब-आधारित हमलों का दूसरा सबसे आम रूप था, केवल SQL इंजेक्शन हमलों में असामान्य वृद्धि के कारण शीर्ष स्थान से गायब हो गया।

XSS कमजोरियों को अक्सर कंपनियों और सुरक्षा विशेषज्ञों द्वारा कम महत्व दिया जाता है क्योंकि वे हमेशा किसी साइट तक पहुंचने वाले उपयोगकर्ताओं को सीधे नुकसान नहीं पहुंचाते हैं। हालाँकि, वे अक्सर जटिल शोषण दिनचर्या में पहला कदम होते हैं, जिससे अधिक हानिकारक हैक्स की सुविधा मिलती है। XSS हमलों को ख़त्म करने से कई मामलों में उपयोगकर्ता अधिक जटिल हमलों से सुरक्षित रहेंगे जो XSS द्वारा प्रदान की गई प्रारंभिक सहायता के बिना संभव नहीं होगा।

उदाहरण के लिए, इस सप्ताह, बूटस्ट्रैप, एक यूआई फ्रेमवर्क जिसका उपयोग लगभग 15 से 20 प्रतिशत इंटरनेट साइटों द्वारा किया जाता है प्रभाव पड़ा DOM-आधारित XSS द्वारा। आज किसी भी हमलावर के लिए यह एक बहुत बड़ी आक्रमण सतह है।

सभी क्रोमियम-आधारित ब्राउज़र

अधिक ब्राउज़र कवरेज:

  • सफ़ारी इंजीनियर घुसपैठिया विज्ञापनों से लड़ने के लिए अलग दृष्टिकोण अपनाते हैं
  • Google Chrome 73 आधिकारिक तौर पर आपके कीबोर्ड पर मल्टीमीडिया कुंजियों का समर्थन करेगा
  • Google ने 14 आधिकारिक Chrome थीम प्रकाशित की हैं
  • Google Chrome में एक ऑटो-अपडेट-टू-HTTPS प्रयोग चला रहा है
  • ओपेरा डेस्कटॉप ब्राउज़र को एक नया रूप मिलता है, डार्क थीम को और गहरा किया जाता है
  • फ़ायरफ़ॉक्स मार्च 2019 से ऑटो-प्लेइंग ऑडियो को ब्लॉक कर देगा
  • नए क्रोमियम-आधारित एज के बारे में उद्यमों को क्या जानने की आवश्यकता है टेकरिपब्लिक
  • समाचार वेबसाइटों पर एड-ब्लॉकिंग ब्रेव को क्रोम की तुलना में मेमोरी लाभ मिलता हैसीएनईटी