Google удалит встроенную защиту от XSS в Chrome (XSS Auditor)

  • Aug 30, 2023

XSS Auditor стал слишком неэффективным в блокировании XSS-атак, и его обслуживание стало рутинной задачей.

Инженеры Google планируют удалить функцию безопасности Chrome, которая не соответствовала уровню защиты, который должен был обеспечиваться в течение многих лет.

Эта функция, получившая название XSS Auditor, была добавлена ​​в Chrome в 2010 году с выпуском Google Chrome v4.

Как следует из названия, XSS-аудитор сканирует исходный код веб-сайта на предмет шаблонов, похожих на межсайтовый скриптинг (XSS) атака, которая может попытаться запустить вредоносный код в браузере пользователя.

Если обнаружен известный шаблон XSS, Chrome может удалить вредоносный код или вообще заблокировать загрузку веб-сайта, отображая ошибку, подобную приведенной ниже.

В течение многих лет XSS Auditor был уникальной функцией в мире браузеров и помогал Chrome выделиться среди других браузеров, будучи единственным браузером, который имел встроенную защиту от XSS.

С момента запуска эта функция была воспроизведена в других браузерах с помощью надстроек. самым известным из них является расширение NoScript, в котором уже много лет используется механизм защиты от XSS. сейчас.

XSS Auditor теперь полон дыр

Но в этот понедельник, 15 июля, инженеры Google объявили о планах прекратить поддержку и удалить XSS Auditor из Chrome.

Инженеры назвали несколько причин удаления этой функции. Первым из упомянутых случаев были многочисленные обходы XSS Auditor, обнаруженные за последние пару лет.

Хотя после запуска XSS Auditor пользовался хорошей репутацией, теперь это стало изюминкой: охотники за ошибками шутят, что вы не станете настоящим исследователем безопасности, пока не найдете обход XSS Auditor. Всего за две минуты ZDNet обнаружил десять обходов XSS Auditor с помощью простого поиска в Google [1, 2, 3, 4, 5, 6, 7, 8, 9, 10], и многие другие остались ждать.

Более того, исправление всех обходов XSS Auditor создало дыры в самом Chrome. В Обсуждение в группах Google объявляя об прекращении поддержки XSS Auditor, инженер Chrome Томас Сепез сказал, что XSS Auditor привел к множеству «утечек информации между сайтами» и что «исправить все утечки информации оказалось сложно».

А еще есть проблема с ложными срабатываниями; случаи, когда XSS Auditor блокировал доступ к законным сайтам на основании ошибочных обнаружений.

Вот почему с выпуск Chrome 74, Google переключил режим XSS Auditor по умолчанию от «блокировать» к «фильтру», это означает, что с апреля XSS Auditor не блокирует доступ к веб-сайтам, содержащим код XSS, а скорее удаляет код, пытаясь сократить количество отчеты о ложных срабатываниях его инженеры получали.

Будет заменен API доверенных типов.

Работа над прекращением поддержки компонента XSS Auditor стартовал в прошлом году, в октябре. Google не уточнил, в какой версии Chrome XSS Auditor будет отключен и в конечном итоге навсегда удален из кодовой базы Chrome.

Хорошей новостью является то, что Google уже начал работу над заменой. В феврале Google объявила, что ее инженеры разработали API-интерфейс браузера Trusted Types, новую защиту от XSS-атак на основе DOM, которые, по их утверждениям, будут «удалить DOM XSS."

В отличие от XSS Auditor, который был компонентом Chrome, новый API Trusted Types является веб-стандартом и теоретически может быть включен и в другие браузеры.

Согласно Отчет Импервы опубликованные в январе, XSS-уязвимости были наиболее распространенной формой веб-атак в 2014, 2015, 2016 и 2017 годах. В прошлом году они были второй по распространенности формой веб-атак, уступив первое место только из-за необычного всплеска атак с использованием SQL-инъекций.

Компании и эксперты по безопасности часто преуменьшают XSS-уязвимости, поскольку они не всегда приводят к прямому ущербу для пользователей, получающих доступ к сайту. Тем не менее, они часто являются первой ступенькой в ​​сложных процедурах эксплойтов, облегчая более разрушительные взломы. Устранение атак XSS во многих случаях защитит пользователей от более сложных атак, которые были бы невозможны без первоначальной точки опоры, обеспечиваемой XSS.

Два других браузера, помимо Chrome, имели XSS-фильтр: Интернет Эксплорер и Edge. Microsoft удалила фильтр XSS из Edge в прошлом году. Производитель ОС и браузера отметил наличие современных стандартов, таких как Политика безопасности контента, которые могут более эффективно блокировать XSS-атаки на уровне веб-сайта.

Статья дополнена информацией о том, как Microsoft удалила фильтр XSS из Edge.

Все браузеры на базе Chromium

Больше информации о браузерах:

  • Как включить DNS-over-HTTPS (DoH) в Firefox
  • Пэйл Мун утверждает, что хакеры добавили вредоносное ПО в старые версии браузера
  • Microsoft дает ИТ-специалистам сигнал начать тестирование Edge на базе Chromium
  • Mozilla: в Великобритании не планируется включать DNS-over-HTTPS по умолчанию
  • Mozilla финансирует способ поддержки Джулии в Firefox
  • Mozilla исключила поставщика систем видеонаблюдения из белого списка сертификатов Firefox
  • Как использовать браузер Tor на устройстве Android Техреспублика
  • Браузерная реклама Brave, ориентированная на конфиденциальность, приносит вам обещанную выплату.vrenture.com/