One of Edge's Cross-Site Scripting protections may be broken

2008-ban a Microsoft bevezette az XSS Filter nevű, helyeken átívelő parancsfájl-védelmi technológiát. Lehetővé teszi a webhelytulajdonosok számára, hogy a HTTP-fejlécen keresztül közöljék a böngészőkkel, hogy kell-e külső tartalmat megjeleníteni. A technológiát később a Chrome és a Safari is átvette.

A PortSwigger biztonsági cég szerint most úgy tűnik, hogy a Microsoft Edge böngészőjének legújabb verziója megszüntette a funkciót.

Gareth Heyes, a PortSwigger cég biztonsági kutatója szerint az Edge legújabb verziója alapértelmezés szerint már nem használta az XSS-szűrőt, és még akkor sem, ha a webhelytulajdonosok megpróbálják aktiválni, az Edge már nem válaszol.

„Az XSS-szűrőnek alapértelmezés szerint be kell lennie” – mondta Heyes. "Azonban most már alapértelmezés szerint ki van kapcsolva, és még ha megpróbálja is bekapcsolni az X-XSS-Protection: 1 segítségével, kikapcsolva marad."

Heyes gyanítja, hogy ez egy hiba, mivel az Internet Explorer, amely még mindig a Windows 10-hez tartozik, továbbra is megfelelően reagál az X-XSS-Protection kapcsolóra, és megfelelően fertőtleníti a weboldalakat.

„Az egyetlen módja annak, hogy most ténylegesen bekapcsolja, az az, hogy rendelkezik az X-XSS-Protection fejléccel: 1; mode=block” – jegyezte meg Heyes.

A lépés azonban szándékos lehet – az okos hackerek képesek voltak kihasználni az XSS Filtert weboldalak átírására és a böngésző megtámadására, a Mozilla pedig soha nem támogatta a technológiát, vagyis a webhelyek soha nem támogatták teljes mértékben.

A Microsoft nem válaszolt a PortSwiggerre, csak annyit mondott nekik, hogy „Nincs mit megosztanunk”, amikor érdeklődtek a problémáról.

Olvasson többet a problémáról itt a BleepingComputerben.