Možda je pokvarena jedna od Edgeovih zaštita skriptiranja s više stranica

Godine 2008. Microsoft je predstavio tehnologiju zaštite skriptiranja na više lokacija pod nazivom XSS Filter. Omogućuje vlasnicima web stranica da kažu preglednicima putem HTTP zaglavlja treba li prikazati vanjski sadržaj. Tehnologiju su kasnije usvojili i Chrome i Safari.

Sada se čini da je najnovija verzija Microsoftovog preglednika Edge izbacila tu značajku, prema sigurnosnoj tvrtki PortSwigger.

Prema Garethu Heyesu, istraživaču sigurnosti za tvrtku PortSwigger, najnovija verzija Edgea više ne koristi XSS filter prema zadanim postavkama, pa čak i kada ga vlasnici web-mjesta pokušaju aktivirati, Edge više ne reagira.

"XSS filtar bi trebao biti uključen prema zadanim postavkama", rekao je Heyes. "Međutim, sada je isključen prema zadanim postavkama, pa čak i ako ga pokušate uključiti pomoću X-XSS-Protection: 1 ostaje isključen."

Heyes sumnja da je riječ o grešci jer Internet Explorer, koji je još uvijek u paketu sa sustavom Windows 10, i dalje prikladno reagira na prekidač X-XSS-Protection, dezinficirajući web stranice na odgovarajući način.

“Jedini način da ga sada zapravo uključite je kada imate zaglavlje X-XSS-Protection: 1; način=blok”, primijetio je Heyes.

Taj potez, međutim, može biti namjeran – pametni su hakeri uspjeli iskoristiti XSS Filter za prepisivanje web stranica i napad na preglednik, a Mozilla nikada nije podržala tu tehnologiju, što znači da web stranice nikada nisu u potpunosti podržavale.

Microsoft nije odgovorio na PortSwigger, rekavši im samo "Nemamo što dijeliti" kada su se raspitivali o problemu.

Pročitajte više detalja o problemu na BleepingComputer ovdje.