Google Chrome перестанет защищать от XSS-атак?



    Google удаляет XSS Auditor из браузера Chrome после серии уязвимостей, подвергших сомнению эффективность данной функции.

    На днях Анти-XSS технология была признана устаревшей и планируется к удалению, как объявили разработчики Chromium 16 июля в Google Groups проекта.

    Судя по обсуждениям разработчиков Chromium, такое решение было связано с проблемами блокировки страниц многих благонадежных сайтов.



    XSS Auditor с момента своего появления в 2010 году в Chrome 4 породил более чем активные споры. За время его существования были выявлены многочисленные недостатки, ставшие причиной отказа от этой технологии.

    Изначально XSS Auditor работал в режиме фильтрации: веб-ресурс загружался, но подозрительный код блокировался, что не помешало обнаружить множество способов обхода защиты.

    Со временем разработчики Chrome решили переключить поведение по умолчанию в режим блокировки. Однако этот метод защиты был уязвим к атаке XS-Search/XS-Leak. Также он часто приводил к ложным срабатываниям на благонадежных ресурсах и к их блокировке для пользователей браузера.

    С недавнего времени Auditor стал снова работать в режиме фильтрации по умолчанию (скорее всего, чтобы снизить негативный эффект с ложными срабатываниями и блокировкой благонадежных сайтов).

    Но это решение довольно скоро вызвало сомнения в принципе в эффективности данного защитного механизма. Как отмечает Frederik Braun (Mozilla) в совместном с Mario Heiderich (Cure53) исследовании «X-Frame-Options: All about Clickjacking?», режим фильтрации является опасным подходом и вполне может быть заменен установкой заголовка X-XSS-Protection: 1; mode=block, что, в принципе, тоже не является панацеей.

    Стоит отметить, что процесс отказа от XSS Auditor был предложен разработчиками Chromium еще в октябре 2018 года. При этом отмечалось, что «отсутствуют какие-либо доказательства того, что аудитор останавливает какие-либо XSS».



    В дальнейшем планируется использовать стандарт Trusted Types API, который с некоторой долей вероятности может быть применен не только в Google Chrome.
    • +23
    • 6,4k
    • 4
    Инфосистемы Джет
    392,56
    Системный интегратор
    Поделиться публикацией

    Похожие публикации

    Комментарии 4

      –9
      <скрипт>алерт(1)</скрипт>
      У кого сработало ставьте лайки, нажимайте колокольчик и подписывайтесь на канал!
        0
        я из 1С зашел, у меня сработало, наверное потому что программа на русском языке. Колокольчика не вижу.
          0
          от, не продумали, не продумали… 1С, даёшь аудитор!
          пс: Хабр, даешь колокольчик!
            0
            Кто канал даёт?

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое