En af Edge's Cross-Site Scripting-beskyttelse kan være brudt

Ikon for læsetid 2 min. Læs

Kalenderikon Udgivet den Juli 21, 2018

offentliggjort den Juli 21, 2018

Læsere hjælper med at understøtte MSpoweruser. Vi får muligvis en kommission, hvis du køber via vores links.

I 2008 introducerede Microsoft en Cross-site Scripting-beskyttelsesteknologi kaldet XSS Filter. Det giver webstedsejere mulighed for at fortælle browsere via HTTP-headeren, om eksternt indhold skal gengives. Teknologien blev senere overtaget af både Chrome og Safari.

Nu ser det ud til, at den seneste version af Microsofts Edge-browser har droppet funktionen, ifølge sikkerhedsfirmaet PortSwigger.

Ifølge Gareth Heyes, sikkerhedsforsker for firmaet PortSwigger, brugte den seneste version af Edge ikke længere XSS Filter som standard, og selv når webstedsejere forsøger at aktivere det, reagerer Edge ikke længere.

"XSS-filteret formodes at være tændt som standard," sagde Heyes. "Men den er nu slukket som standard, og selvom du prøver at tænde den med X-XSS-Protection: 1 forbliver den slukket."

Heyes har mistanke om, at dette er en fejl, da Internet Explorer, der stadig er bundtet med Windows 10, stadig reagerer korrekt på X-XSS-Protection-switchen og renser websider korrekt.

“Den eneste måde at slå det til nu er, når du har overskriften X-XSS-Protection: 1; mode=blok,” bemærkede Heyes.

Flytningen kan dog være bevidst - smarte hackere har været i stand til at udnytte XSS Filter til at omskrive websider og angribe browseren, og Mozilla har aldrig understøttet teknologien, hvilket betyder, at den aldrig blev fuldt understøttet af websteder.

Microsoft har ikke svaret PortSwigger og fortalte dem kun "Vi har intet at dele", da de spurgte om problemet.

Læs mere om problemet hos BleepingComputer her.

Mere om emnerne: kant, microsoft, Windows 10