Jedno z zabezpieczeń Edge-Site Scripting może zostać uszkodzone
2 minuta. czytać
Opublikowany
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
W 2008 r. firma Microsoft wprowadziła technologię ochrony przed atakami Cross-Site Scripting o nazwie XSS Filter. Umożliwia właścicielom witryn informowanie przeglądarek za pomocą nagłówka HTTP, czy należy renderować zawartość zewnętrzną. Technologia została później przyjęta przez Chrome i Safari.
Teraz wydaje się, że najnowsza wersja przeglądarki Edge firmy Microsoft zrezygnowała z tej funkcji, według firmy zajmującej się bezpieczeństwem PortSwigger.
Według Garetha Heyesa, badacza bezpieczeństwa dla firmy PortSwigger, najnowsza wersja Edge nie używa już domyślnie filtra XSS, a nawet gdy właściciele witryn próbują go aktywować, Edge już nie reaguje.
„Filtr XSS powinien być domyślnie włączony” — powiedział Heyes. „Jednak jest teraz domyślnie wyłączony i nawet jeśli spróbujesz go włączyć za pomocą X-XSS-Protection: 1, pozostanie wyłączony”.
Heyes podejrzewa, że jest to błąd, ponieważ Internet Explorer, nadal dołączony do systemu Windows 10, nadal odpowiednio reaguje na przełącznik X-XSS-Protection, odpowiednio oczyszczając strony internetowe.
„Jedynym sposobem, aby go teraz włączyć, jest posiadanie nagłówka X-XSS-Protection: 1; mode=block” — zauważył Heyes.
Posunięcie to może być jednak celowe – sprytni hakerzy byli w stanie wykorzystać filtr XSS do przepisywania stron internetowych i atakowania przeglądarki, a Mozilla nigdy nie wspierała tej technologii, co oznacza, że nigdy nie była w pełni obsługiwana przez strony internetowe.
Microsoft nie odpowiedział PortSwigger, mówiąc im tylko „Nie mamy nic do udostępnienia”, gdy zapytali o problem.
Przeczytaj więcej szczegółów na temat problemu w BleepingComputer tutaj.