Μία από τις προστασίες Cross-Site Scripting του Edge ενδέχεται να έχει σπάσει

Το 2008 η Microsoft εισήγαγε μια τεχνολογία προστασίας δέσμης ενεργειών μεταξύ τοποθεσιών που ονομάζεται XSS Filter. Επιτρέπει στους κατόχους ιστότοπων να ενημερώνουν τα προγράμματα περιήγησης μέσω της κεφαλίδας HTTP εάν πρέπει να αποδοθεί εξωτερικό περιεχόμενο. Η τεχνολογία υιοθετήθηκε αργότερα τόσο από τον Chrome όσο και από το Safari.

Τώρα φαίνεται ότι η τελευταία έκδοση του προγράμματος περιήγησης Edge της Microsoft απέσυρε τη δυνατότητα, σύμφωνα με την εταιρεία ασφαλείας PortSwigger.

Σύμφωνα με τον Gareth Heyes, ερευνητή ασφάλειας για την εταιρεία PortSwigger, η πιο πρόσφατη έκδοση του Edge δεν χρησιμοποιούσε πλέον το XSS Filter από προεπιλογή και ακόμη και όταν οι κάτοχοι ιστοτόπων προσπαθούν να το ενεργοποιήσουν, ο Edge δεν ανταποκρίνεται πλέον.

"Το φίλτρο XSS υποτίθεται ότι είναι ενεργοποιημένο από προεπιλογή", είπε ο Heyes. "Ωστόσο, είναι πλέον απενεργοποιημένο από προεπιλογή και ακόμα κι αν προσπαθήσετε να το ενεργοποιήσετε με το X-XSS-Protection: 1 παραμένει απενεργοποιημένο."

Ο Heyes υποπτεύεται ότι πρόκειται για σφάλμα, καθώς ο Internet Explorer, ο οποίος εξακολουθεί να συνοδεύεται από τα Windows 10, εξακολουθεί να ανταποκρίνεται κατάλληλα στον διακόπτη X-XSS-Protection, απολυμαίνοντας κατάλληλα τις ιστοσελίδες.

"Ο μόνος τρόπος να το ενεργοποιήσετε τώρα είναι όταν έχετε την κεφαλίδα X-XSS-Protection: 1; mode=block», σημείωσε ο Heyes.

Ωστόσο, η κίνηση μπορεί να είναι σκόπιμη – οι έξυπνοι χάκερ μπόρεσαν να εκμεταλλευτούν το XSS Filter για να ξαναγράψουν ιστοσελίδες και να επιτεθούν στο πρόγραμμα περιήγησης, και η Mozilla δεν υποστήριξε ποτέ την τεχνολογία, πράγμα που σημαίνει ότι ποτέ δεν υποστηρίχθηκε πλήρως από ιστότοπους.

Η Microsoft δεν απάντησε στον PortSwigger, λέγοντάς τους μόνο «Δεν έχουμε τίποτα να μοιραστούμε» όταν ρωτήθηκαν για το ζήτημα.

Διαβάστε περισσότερες λεπτομέρειες για το θέμα στο BleepingComputer εδώ.