Ena od Edgeovih zaščit za skriptno izvajanje med spletnimi mesti je morda pokvarjena

Leta 2008 je Microsoft predstavil zaščitno tehnologijo za medstransko izvajanje skriptov, imenovano XSS Filter. Lastnikom spletnih mest omogoča, da brskalnikom prek glave HTTP povejo, ali je treba upodobiti zunanjo vsebino. Tehnologijo sta pozneje prevzela tako Chrome kot Safari.

Zdaj se zdi, da je najnovejša različica Microsoftovega brskalnika Edge to funkcijo opustila, poroča varnostno podjetje PortSwigger.

Po besedah ​​Garetha Heyesa, varnostnega raziskovalca za podjetje PortSwigger, najnovejša različica Edge privzeto ni več uporabljala filtra XSS in tudi ko ga lastniki spletnih mest poskušajo aktivirati, se Edge ne odziva več.

"Filter XSS naj bi bil privzeto vklopljen," je dejal Heyes. "Vendar je zdaj privzeto izklopljen, in tudi če ga poskusite vklopiti z X-XSS-Protection: 1 ostane izklopljen."

Heyes sumi, da je to napaka, saj se Internet Explorer, ki je še vedno v paketu z operacijskim sistemom Windows 10, še vedno ustrezno odziva na stikalo X-XSS-Protection in ustrezno sanira spletne strani.

»Edini način, da ga zdaj dejansko vklopite, je, če imate glavo X-XSS-Protection: 1; način = blok,« je opozoril Heyes.

Vendar je ta poteza morda namerna – pametni hekerji so lahko izkoristili filter XSS za prepisovanje spletnih strani in napad na brskalnik, Mozilla pa nikoli ni podpirala tehnologije, kar pomeni, da je spletna mesta nikoli niso v celoti podpirala.

Microsoft se PortSwiggerju ni odzval in jim je povedal le "Nimamo česa deliti", ko so povprašali o težavi.

Preberite več podrobnosti o zadevi na BleepingComputer tukaj.