Edge'in Siteler Arası Komut Dosyası korumalarından biri bozulmuş olabilir

2008'de Microsoft, XSS Filtresi adı verilen Siteler Arası Komut Dosyası koruma teknolojisini tanıttı. Web sitesi sahiplerinin, tarayıcılara HTTP Başlığı aracılığıyla harici içeriğin oluşturulup oluşturulmayacağını söylemesine olanak tanır. Teknoloji daha sonra hem Chrome hem de Safari tarafından benimsendi.

Güvenlik firması PortSwigger'a göre artık Microsoft'un Edge tarayıcısının en son sürümü bu özelliği bırakmış görünüyor.

PortSwigger firmasının güvenlik araştırmacısı Gareth Heyes'e göre, Edge'in en son sürümü artık varsayılan olarak XSS Filtresi kullanmıyor ve web sitesi sahipleri bunu denediğinde ve etkinleştirdiğinde bile Edge artık yanıt vermiyor.

Heyes, "XSS Filtresinin varsayılan olarak açık olması gerekiyor," dedi. "Ancak, artık varsayılan olarak kapalıdır ve X-XSS-Protection: 1 ile açmaya çalışsanız bile kapalı kalır."

Heyes, bunun bir hata olduğundan şüpheleniyor, çünkü hala Windows 10 ile birlikte gelen Internet Explorer, web sayfalarını uygun şekilde dezenfekte ederek X-XSS-Koruma anahtarına hala uygun şekilde yanıt veriyor.

“Onu şimdi açmanın tek yolu, X-XSS-Protection başlığına sahip olduğunuz zamandır: 1; mod=blok," dedi Heyes.

Bununla birlikte, hareket kasıtlı olabilir - akıllı bilgisayar korsanları, web sayfalarını yeniden yazmak ve tarayıcıya saldırmak için XSS Filtresinden yararlanabildi ve Mozilla, teknolojiyi hiçbir zaman desteklemedi, yani hiçbir zaman web siteleri tarafından tam olarak desteklenmedi.

Microsoft, PortSwigger'a yanıt vermedi ve sorunu sorduklarında onlara yalnızca "Paylaşacak hiçbir şeyimiz yok" dedi.

Sorun hakkında daha fazla ayrıntı okuyun burada BleepingComputer'da.