Een van Edge's Cross-Site Scripting-beveiligingen is mogelijk verbroken

In 2008 introduceerde Microsoft een Cross-site Scripting-beveiligingstechnologie genaamd XSS-filter. Het stelt website-eigenaren in staat om browsers via de HTTP-header te vertellen of externe inhoud moet worden weergegeven. De technologie werd later overgenomen door zowel Chrome als Safari.

Nu lijkt het erop dat de nieuwste versie van Microsoft's Edge-browser de functie heeft laten vallen, aldus beveiligingsbedrijf PortSwigger.

Volgens Gareth Heyes, beveiligingsonderzoeker voor de firma PortSwigger, gebruikt de meest recente versie van Edge standaard XSS-filter niet meer, en zelfs wanneer website-eigenaren het proberen te activeren, reageert Edge niet meer.

"Het XSS-filter zou standaard ingeschakeld moeten zijn", zei Heyes. "Het is nu echter standaard uitgeschakeld en zelfs als je het probeert aan te zetten met X-XSS-Protection: 1 blijft het uitgeschakeld."

Heyes vermoedt dat dit een bug is, aangezien Internet Explorer, nog steeds gebundeld met Windows 10, nog steeds correct reageert op de X-XSS-Protection-schakelaar en webpagina's op de juiste manier opschoont.

“De enige manier om het nu echt aan te zetten is wanneer je de header X-XSS-Protection hebt: 1; mode=blokkeren,” merkte Heyes op.

De verhuizing kan echter opzettelijk zijn - slimme hackers hebben XSS-filter kunnen misbruiken om webpagina's te herschrijven en de browser aan te vallen, en Mozilla heeft de technologie nooit ondersteund, wat betekent dat het nooit volledig werd ondersteund door websites.

Microsoft heeft PortSwigger niet gereageerd en vertelde hen alleen "We hebben niets te delen" toen ze naar het probleem informeerden.

Lees meer details over het probleem bij BleepingComputer hier.