Как стать автором
Обновить
149.53
Инфосистемы Джет
российская ИТ-компания

Google Chrome перестанет защищать от XSS-атак?

Время на прочтение 2 мин
Количество просмотров 7.8K


Google удаляет XSS Auditor из браузера Chrome после серии уязвимостей, подвергших сомнению эффективность данной функции.

На днях Анти-XSS технология была признана устаревшей и планируется к удалению, как объявили разработчики Chromium 16 июля в Google Groups проекта.

Судя по обсуждениям разработчиков Chromium, такое решение было связано с проблемами блокировки страниц многих благонадежных сайтов.



XSS Auditor с момента своего появления в 2010 году в Chrome 4 породил более чем активные споры. За время его существования были выявлены многочисленные недостатки, ставшие причиной отказа от этой технологии.

Изначально XSS Auditor работал в режиме фильтрации: веб-ресурс загружался, но подозрительный код блокировался, что не помешало обнаружить множество способов обхода защиты.

Со временем разработчики Chrome решили переключить поведение по умолчанию в режим блокировки. Однако этот метод защиты был уязвим к атаке XS-Search/XS-Leak. Также он часто приводил к ложным срабатываниям на благонадежных ресурсах и к их блокировке для пользователей браузера.

С недавнего времени Auditor стал снова работать в режиме фильтрации по умолчанию (скорее всего, чтобы снизить негативный эффект с ложными срабатываниями и блокировкой благонадежных сайтов).

Но это решение довольно скоро вызвало сомнения в принципе в эффективности данного защитного механизма. Как отмечает Frederik Braun (Mozilla) в совместном с Mario Heiderich (Cure53) исследовании «X-Frame-Options: All about Clickjacking?», режим фильтрации является опасным подходом и вполне может быть заменен установкой заголовка X-XSS-Protection: 1; mode=block, что, в принципе, тоже не является панацеей.

Стоит отметить, что процесс отказа от XSS Auditor был предложен разработчиками Chromium еще в октябре 2018 года. При этом отмечалось, что «отсутствуют какие-либо доказательства того, что аудитор останавливает какие-либо XSS».



В дальнейшем планируется использовать стандарт Trusted Types API, который с некоторой долей вероятности может быть применен не только в Google Chrome.
Теги:
Хабы:
+23
Комментарии 4
Комментарии Комментарии 4

Публикации

Информация

Сайт
jet.su
Дата регистрации
Дата основания
1991
Численность
1 001–5 000 человек
Местоположение
Россия