One of Edge's Cross-Site Scripting protections may be broken

V roku 2008 spoločnosť Microsoft predstavila technológiu ochrany proti skriptovaniu medzi stránkami s názvom XSS Filter. Umožňuje vlastníkom webových stránok povedať prehliadačom prostredníctvom hlavičky HTTP, či sa má vykresliť externý obsah. Túto technológiu neskôr prevzali Chrome aj Safari.

Podľa bezpečnostnej firmy PortSwigger sa zdá, že najnovšia verzia prehliadača Edge od spoločnosti Microsoft túto funkciu vypustila.

Podľa Garetha Heyesa, bezpečnostného výskumníka firmy PortSwigger, najnovšia verzia Edge už štandardne nepoužíva filter XSS a aj keď sa ho majitelia webových stránok pokúšajú aktivovať, Edge už nereaguje.

"V predvolenom nastavení by mal byť filter XSS zapnutý," povedal Heyes. "Teraz je však štandardne vypnutý a aj keď sa ho pokúsite zapnúť pomocou X-XSS-Protection: 1, zostane vypnutý."

Heyes má podozrenie, že ide o chybu, pretože Internet Explorer, ktorý je stále súčasťou systému Windows 10, stále primerane reaguje na prepínač X-XSS-Protection a primerane dezinfikuje webové stránky.

„Jediný spôsob, ako to teraz skutočne zapnúť, je, keď máte hlavičku X-XSS-Protection: 1; režim=blok,“ poznamenal Heyes.

Tento krok však môže byť zámerný – chytrí hackeri dokázali zneužiť XSS Filter na prepísanie webových stránok a útok na prehliadač a Mozilla túto technológiu nikdy nepodporovala, čo znamená, že ju webové stránky nikdy plne nepodporovali.

Microsoft neodpovedal PortSwigger a povedal im iba „Nemáme čo zdieľať“, keď sa pýtali na problém.

Prečítajte si viac podrobností o probléme na BleepingComputer tu.