Google dropper XSS-beskyttelse fra Chrome: »Ingen beviser for, at den stopper XSS-angreb«

Illustration: Google
Google dropper XSS-beskyttelse fra Chrome, efter at en undersøgelse viste, at den både er for let at omgå og skaber for mange problemer med legitim kode.

Google dropper værktøjet XSS Auditor, som skal beskytte mod XSS-angreb (cross-site scripting) fra Chrome, fordi det ikke fungerer efter hensigten, og i øvrigt skaber problemer for udviklere med falske positiver.

Det skriver netmediet Naked Security.

»Vi har ikke fundet nogen beviser for, at XSS Auditor stopper noget XSS, og i stedet har vi haft svært ved at forklare til udviklere generelt, hvorfor de skal rette fejl, når browseren siger, at angrebet blev stoppet,« skrev senioringeniør hos Google Eduardo Vela Nava i en diskussion om, hvorvidt XSS Auditor virker.

Webudvikler-krykke

XSS-angreb sker typisk ved, at en angriber udnytter en hjemmesides funktion til brugerbaseret indhold (for eksempel et kommentarspor) til at uploade en reference til et script fra en anden hjemmeside.

Generelt bør hjemmesider automatisk filtrere brugerproduceret indhold, så XSS-angreb ikke kan lade sig gøre, men det er ikke altid hjemmesider implementerer det korrekt. XSS Auditor træder ind, når Chrome tolker HTML, og forsøger at filtrere angrebet fra ud fra nogle forudbestemte kriterier.

Men ifølge Eduardo Vela Nava kan det altså føre til, at XSS-sårbarheder ikke fikses på hjemmesider, fordi udviklere ser, at angrebet bliver stoppet i Chrome.

Diskussion

I diskussionen pointerer Eduardo Vela Nava, at det er muligt at omgå de fleste af XSS Auditors filtreringsmetoder. Det har ført til nogen uenighed om, hvorvidt XSS Auditor bør sendes på pension eller opdateres.

I sidste ende har man hos Google besluttet at sende XSS-Auditor på pension. Det skriver sikkerhedsingeniør hos Google Thomas Sepez.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere