En av Edges Cross-Site Scripting-beskyttelse kan være ødelagt

I 2008 introduserte Microsoft en Cross-site Scripting-beskyttelsesteknologi kalt XSS Filter. Den lar nettstedeiere fortelle nettlesere via HTTP-headeren om eksternt innhold skal gjengis. Teknologien ble senere tatt i bruk av både Chrome og Safari.

Nå ser det ut til at den nyeste versjonen av Microsofts Edge-nettleser har droppet funksjonen, ifølge sikkerhetsfirmaet PortSwigger.

I følge Gareth Heyes, sikkerhetsforsker for firmaet PortSwigger, brukte den nyeste versjonen av Edge ikke lenger XSS Filter som standard, og selv når nettstedeiere prøver å aktivere det, svarer Edge ikke lenger.

"XSS-filteret er ment å være på som standard," sa Heyes. "Men den er nå av som standard, og selv om du prøver å slå den på med X-XSS-Protection: 1 forblir den av."

Heyes mistenker at dette er en feil, ettersom Internet Explorer, som fortsatt følger med Windows 10, fortsatt reagerer riktig på X-XSS-Protection-bryteren, og renser nettsider på riktig måte.

«Den eneste måten å slå det på nå er når du har overskriften X-XSS-Protection: 1; mode=blokk,» bemerket Heyes.

Flyttingen kan imidlertid være tilsiktet – smarte hackere har vært i stand til å utnytte XSS Filter for å omskrive nettsider og angripe nettleseren, og Mozilla har aldri støttet teknologien, noe som betyr at den aldri ble fullt ut støttet av nettsteder.

Microsoft har ikke svart PortSwigger, og fortalte dem bare "Vi har ingenting å dele" når de spurte om problemet.

Les mer om problemet på BleepingComputer her.