Möglicherweise ist einer der Cross-Site-Scripting-Schutzmaßnahmen von Edge unterbrochen

Im Jahr 2008 führte Microsoft eine Cross-Site-Scripting-Schutztechnologie namens XSS-Filter ein. Es ermöglicht Website-Betreibern, Browsern über den HTTP-Header mitzuteilen, ob externe Inhalte gerendert werden sollen. Die Technologie wurde später sowohl von Chrome als auch von Safari übernommen.

Laut der Sicherheitsfirma PortSwigger scheint die neueste Version von Microsofts Edge-Browser diese Funktion nun fallen gelassen zu haben.

Laut Gareth Heyes, Sicherheitsforscher der Firma PortSwigger, verwendet die neueste Version von Edge standardmäßig keinen XSS-Filter mehr, und selbst wenn Websitebesitzer versuchen, ihn zu aktivieren, reagiert Edge nicht mehr.

„Der XSS-Filter sollte standardmäßig aktiviert sein“, sagte Heyes. „Allerdings ist es jetzt standardmäßig ausgeschaltet, und selbst wenn Sie versuchen, es mit X-XSS-Protection: 1 einzuschalten, bleibt es ausgeschaltet.“

Heyes vermutet, dass dies ein Fehler ist, da der Internet Explorer, der immer noch mit Windows 10 gebündelt ist, immer noch angemessen auf den X-XSS-Protection-Schalter reagiert und Webseiten entsprechend bereinigt.

„Die einzige Möglichkeit, es jetzt wirklich einzuschalten, ist, wenn Sie den Header X-XSS-Protection: 1 haben; mode=block“, bemerkte Heyes.

Der Schritt könnte jedoch beabsichtigt sein – clevere Hacker konnten den XSS-Filter ausnutzen, um Webseiten umzuschreiben und den Browser anzugreifen, und Mozilla hat die Technologie nie unterstützt, was bedeutet, dass sie von Websites nie vollständig unterstützt wurde.

Microsoft hat PortSwigger nicht geantwortet und ihnen nur gesagt: „Wir haben nichts zu teilen“, als sie sich nach dem Problem erkundigten.

Lesen Sie mehr Details über das Problem bei BleepingComputer hier.