- PVSM.RU - https://www.pvsm.ru -

Google Chrome перестанет защищать от XSS-атак?

Google Chrome перестанет защищать от XSS-атак? - 1

Google удаляет XSS Auditor из браузера Chrome после серии уязвимостей, подвергших сомнению эффективность данной функции.

На днях Анти-XSS технология была признана устаревшей и планируется к удалению, как объявили [1] разработчики Chromium 16 июля в Google Groups проекта.

Судя по обсуждениям [2] разработчиков Chromium, такое решение было связано с проблемами блокировки страниц многих благонадежных сайтов.

Google Chrome перестанет защищать от XSS-атак? - 2

XSS Auditor с момента своего появления в 2010 году в Chrome 4 породил более чем активные споры. За время его существования были выявлены многочисленные недостатки, ставшие причиной отказа от этой технологии.

Изначально XSS Auditor работал в режиме фильтрации: веб-ресурс загружался, но подозрительный код блокировался, что не помешало обнаружить множество способов обхода защиты.

Со временем разработчики Chrome решили переключить поведение по умолчанию в режим блокировки. Однако этот метод защиты был уязвим к атаке XS-Search/XS-Leak [3]. Также он часто приводил к ложным срабатываниям на благонадежных ресурсах и к их блокировке для пользователей браузера.

С недавнего времени Auditor стал снова [4] работать в режиме фильтрации по умолчанию (скорее всего, чтобы снизить негативный эффект с ложными срабатываниями и блокировкой благонадежных сайтов).

Но это решение довольно скоро вызвало сомнения в принципе в эффективности данного защитного механизма. Как отмечает Frederik Braun (Mozilla) в совместном с Mario Heiderich (Cure53) исследовании «X-Frame-Options: All about Clickjacking?» [5], режим фильтрации является опасным подходом и вполне может быть заменен установкой заголовка X-XSS-Protection: 1; mode=block, что, в принципе, тоже не является панацеей.

Стоит отметить, что процесс отказа от XSS Auditor был предложен разработчиками Chromium еще в октябре 2018 года. При этом отмечалось, что «отсутствуют какие-либо доказательства того, что аудитор останавливает какие-либо XSS» [6].

Google Chrome перестанет защищать от XSS-атак? - 3

В дальнейшем планируется использовать стандарт Trusted Types API, который с некоторой долей вероятности может быть применен не только в Google Chrome.

Автор: CSIRT

Источник [7]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/324163

Ссылки в тексте:

[1] объявили: https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/TuYw-EZhO9g

[2] обсуждениям: https://bugs.chromium.org/p/chromium/issues/list?can=1&q=ERR_BLOCKED_BY_XSS_AUDITOR

[3] XS-Search/XS-Leak: https://www.owasp.org/images/a/a7/AppSecIL2015_Cross-Site-Search-Attacks_HemiLeibowitz.pdf

[4] снова: https://chromium-review.googlesource.com/c/chromium/src/+/1417872

[5] «X-Frame-Options: All about Clickjacking?»: https://frederik-braun.com/xssauditor-bad.html

[6] «отсутствуют какие-либо доказательства того, что аудитор останавливает какие-либо XSS»: https://bugs.chromium.org/p/chromium/issues/detail?id=898081

[7] Источник: https://habr.com/ru/post/460335/?utm_campaign=460335&utm_source=habrahabr&utm_medium=rss