资讯公告
  • 你的位置:
  • 首页
  • >
  • 资讯公告
  • >
  • 安全
  • >
  • Google将删除Chrome内置的XSS保护
Google将删除Chrome内置的XSS保护
发布时间:2019-07-17 发布者:FebHost

谷歌工程师计划删除一项Chrome安全功能,该功能一直与多年来提供的保护措施不相符。

这款名为XSS Auditor的功能已于2010年添加到Chrome中,随着Google Chrome v4的发布。

顾名思义,XSS Auditor扫描网站的源代码,查找看起来像是跨站点脚本(XSS)攻击的模式,这些模式可能会尝试在用户的浏览器中运行恶意代码。

如果找到已知的XSS模式,Chrome可能会删除恶意代码,或者可能阻止网站完全加载,显示如下所示的错误。



多年来,XSS Auditor一直是浏览器领域的一个独特功能,它帮助Chrome独立于其他浏览器,是唯一一款具有内置XSS保护功能的浏览器。

自推出以来,该功能已经在附加组件的帮助下在其他浏览器中得到了复制,其中最着名的是NoScript扩展,它已经具有多年的XSS保护机制。


XSS AUDITOR现在已经满洞了

但是,7月15日星期一,谷歌工程师宣布计划弃用并删除Chrome中的XSS Auditor。

工程师列举了删除该功能的几个原因。提到的第一个是在过去几年中发现的众多XSS Auditor绕道。

虽然XSS Auditor在推出之后是一个声誉良好的功能,但它现在已成为一个亮点,在你找到XSS Auditor旁路之前,bug猎人开玩笑说你不是真正的安全研究人员。在仅仅两分钟,ZDNet的发现10个XSS审计员无非谷歌搜索[更多旁路1,2,3,4,5,6,7,8,9,10 ],和大量更留等待。

此外,修补所有XSS Auditor旁路已经给Chrome本身带来了漏洞。在宣布XSS Auditor弃用的谷歌小组讨论中,Chrome工程师托马斯·塞佩兹表示,XSS Auditor已经引入了许多“跨站点信息泄漏”,并且“修复所有信息泄漏已经证明是困难的”。

还有误报的问题; XSS Auditor根据错误检测阻止访问合法站点的情况。

这就是为什么随着Chrome 74的发布,Google将默认的XSS Auditor模式从“阻止”切换为“过滤”,这意味着自4月以来,XSS Auditor一直没有阻止访问包含XSS代码的网站,而是删除了代码,试图减少其工程师所获得的误报报告的数量。


要被TRUSTED TYPES API替换

去年10月开始着手弃用XSS Auditor组件。谷歌尚未指定哪些Chrome版本将禁用XSS Auditor,最终将从Chrome代码库中删除。

好消息是谷歌已经开始进行替换。今年2月,谷歌宣布其工程师开发了可信类型浏览器API,这是对基于DOM的XSS攻击的新防御,他们声称这将“ 消除DOM XSS”。

与作为Chrome组件的XSS Auditor不同,新的可信类型API是一种Web标准,理论上也可以包含在其他浏览器中。

根据1月份发布的Imperva报告,XSS漏洞是2014年,2015年,2016年和2017年最常见的基于网络的攻击形式。它们是去年第二种最常见的基于网络的攻击形式,仅在由于SQL注入攻击不常见的高峰位置。

公司和安全专家经常忽略XSS漏洞,因为它们并不总是对访问站点的用户造成直接损害。然而,它们往往是复杂的漏洞利用程序中的第一个踏脚石,可以促进更具破坏性的攻击。在许多情况下,消除XSS攻击可以使用户免受更复杂的攻击,如果没有XSS提供的初始立足点,这将是不可能的。

除了Chrome之外,另外两个使用XSS过滤器的浏览器是Internet Explorer和Edge。Microsoft去年从Edge中删除了XSS过滤器。操作系统和浏览器制造商引用了内容安全策略等现代标准,可以更有效地阻止网站级别的XSS攻击。

购物车