Yksi Edgen Cross-Site Scripting -suojauksista saattaa olla rikki

Vuonna 2008 Microsoft esitteli Cross-site Scripting -suojaustekniikan nimeltä XSS Filter. Sen avulla verkkosivustojen omistajat voivat kertoa selaimille HTTP-otsikon kautta, pitäisikö ulkoista sisältöä renderöidä. Tekniikka otettiin myöhemmin käyttöön sekä Chromessa että Safarissa.

Nyt näyttää siltä, ​​​​että Microsoftin Edge-selaimen uusin versio on poistanut ominaisuuden, tietoturvayhtiö PortSwiggerin mukaan.

PortSwiggerin tietoturvatutkijan Gareth Heyesin mukaan Edgen uusin versio ei enää käyttänyt XSS-suodatinta oletuksena, ja vaikka verkkosivustojen omistajat yrittäisivät aktivoida sitä, Edge ei enää vastaa.

"XSS-suodattimen pitäisi olla oletusarvoisesti päällä", Heyes sanoi. "Se on kuitenkin nyt oletuksena pois päältä, ja vaikka yrittäisit kytkeä sen päälle X-XSS-Protectionilla: 1, se pysyy pois päältä."

Heyes epäilee, että tämä on virhe, sillä Internet Explorer, joka on edelleen mukana Windows 10:ssä, reagoi edelleen asianmukaisesti X-XSS-Protection-kytkimeen ja puhdistaa verkkosivut asianmukaisesti.

"Ainoa tapa ottaa se käyttöön nyt on, kun sinulla on otsikko X-XSS-Protection: 1; mode=block", Heyes huomautti.

Siirto voi kuitenkin olla tarkoituksellista – älykkäät hakkerit ovat pystyneet hyödyntämään XSS-suodatinta verkkosivujen uudelleenkirjoittamiseen ja hyökkäämään selainta vastaan, eikä Mozilla ole koskaan tukenut tekniikkaa, mikä tarkoittaa, että verkkosivustot eivät ole koskaan tukeneet sitä täysin.

Microsoft ei ole vastannut PortSwiggerille ja kertoi heille vain "Meillä ei ole mitään jaettavaa", kun he tiedustelivat ongelmaa.

Lue tarkemmin ongelmasta täällä BleepingComputerissa.