Una delle protezioni Cross-Site Scripting di Edge potrebbe essere danneggiata

Nel 2008 Microsoft ha introdotto una tecnologia di protezione da script tra siti chiamata XSS Filter. Consente ai proprietari di siti Web di dire ai browser tramite l'intestazione HTTP se è necessario eseguire il rendering di contenuti esterni. La tecnologia è stata successivamente adottata sia da Chrome che da Safari.

Ora sembra che l'ultima versione del browser Edge di Microsoft abbia abbandonato la funzionalità, secondo la società di sicurezza PortSwigger.

Secondo Gareth Heyes, ricercatore di sicurezza per l'azienda PortSwigger, la versione più recente di Edge non utilizzava più il filtro XSS per impostazione predefinita e anche quando i proprietari di siti Web provano ad attivarlo Edge non risponde più.

"Il filtro XSS dovrebbe essere attivo per impostazione predefinita", ha detto Heyes. "Tuttavia, ora è disattivato per impostazione predefinita e anche se provi ad accenderlo con X-XSS-Protection: 1 rimane disattivato."

Heyes sospetta che si tratti di un bug, poiché Internet Explorer, ancora in bundle con Windows 10, risponde ancora in modo appropriato all'interruttore X-XSS-Protection, disinfettando le pagine Web in modo appropriato.

“L'unico modo per attivarlo ora è quando hai l'intestazione X-XSS-Protection: 1; modalità=blocco", ha osservato Heyes.

La mossa potrebbe, tuttavia, essere intenzionale: gli hacker intelligenti sono stati in grado di sfruttare XSS Filter per riscrivere le pagine Web e attaccare il browser e Mozilla non ha mai supportato la tecnologia, il che significa che non è mai stata completamente supportata dai siti Web.

Microsoft non ha risposto a PortSwigger, dicendo loro solo "Non abbiamo nulla da condividere" quando hanno chiesto informazioni sul problema.

Leggi maggiori dettagli sul problema su BleepingComputer qui.