ייתכן שאחת מהגנות Cross-Site Scripting של Edge נשברה

בשנת 2008 הציגה מיקרוסופט טכנולוגיית הגנת Scripting חוצה אתרים בשם XSS Filter. זה מאפשר לבעלי אתרים לומר לדפדפנים באמצעות כותרת HTTP אם יש להציג תוכן חיצוני. הטכנולוגיה אומצה מאוחר יותר גם על ידי Chrome וגם על ידי Safari.

כעת נראה שהגרסה האחרונה של דפדפן Edge של מיקרוסופט ביטלה את התכונה, על פי חברת האבטחה PortSwigger.

לפי Gareth Heyes, חוקר אבטחה של חברת PortSwigger, הגרסה העדכנית ביותר של Edge כבר לא השתמשה ב-XSS Filter כברירת מחדל, וגם כאשר בעלי אתרים מנסים להפעיל אותו Edge כבר לא מגיב.

"מסנן XSS אמור להיות מופעל כברירת מחדל", אמר Heyes. "עם זאת, הוא כבוי כעת כברירת מחדל, וגם אם תנסה להפעיל אותו עם X-XSS-Protection: 1 הוא נשאר כבוי."

Heyes חושד שמדובר בבאג, מכיוון ש-Internet Explorer, שעדיין מצורפת ל-Windows 10, עדיין מגיב כראוי למתג X-XSS-Protection, מחטא את דפי האינטרנט כראוי.

"הדרך היחידה להפעיל אותו כעת היא כאשר יש לך את הכותרת X-XSS-Protection: 1; mode=block,” ציין Heyes.

עם זאת, המהלך עשוי להיות מכוון - האקרים חכמים הצליחו לנצל את XSS Filter כדי לשכתב דפי אינטרנט ולתקוף את הדפדפן, ומוזילה מעולם לא תמכה בטכנולוגיה, כלומר מעולם לא נתמכה במלואה על ידי אתרי אינטרנט.

מיקרוסופט לא הגיבה ל-PortSwigger, ואמרה להם רק "אין לנו מה לשתף" כשהם שאלו על הנושא.

קרא פרטים נוספים על הנושא ב- BleepingComputer כאן.