Internet Explorer 8 får cross-site scripting-filter

Microsoft vil forsøge at beskytte brugerne mod de mest basale webbaserede angreb, men må samtidig undgå at gøre websteder inkompatible med IE8.

Den kommende version af Internet Explorer, version 8, får et nyt filter, der skal beskytte brugerne mod de mest grundlæggende typer af cross-site scripting-angreb.

Cross-site scripting udnytter sårbarheder i webapplikationer, der gør det muligt at indsætte HTML eller JavaScript-kode på et websted.

Det bliver hyppigt brugt til at sprede ondsindet kode fra normalt harmløse websteder, og det er grunden til, at Microsoft vil indbygge et filter mod cross-site scripting eller XSS i Internet Explorer 8.

Filteret er aktiveret i den seneste betaversion af Internet Explorer 8. I modsætning til tidligere filtre har Microsoft valgt at gøre filtreringen automatisk, så brugeren ikke skal tage stilling til en dialogboks, hver gang et potentielt angreb bliver stoppet.

Det har også sat visse begrænsninger for filtret, skriver softwareingeniør David Ross fra Microsoft Security Vulnerability Research-afdeling, der har samarbejdet med selskabets Internet Explorer-udviklere om filtret.

»Det er kritisk at bevare kompatibiliteten. Hvis filtret 'ødelagde webbet', så kunne vi ikke aktivere det som standard. Og hvis vi gjorde, ville folk bare slå det fra,« skriver David Ross på Internet Explorer-holdets weblog.

Af samme grund er det også muligt for webdesignere at deaktivere filtret på deres websteder ved at indsætte en HTTP-header.

Da filtret skal fortolke og filtrere script-koden fra et utal af forskellige websteder, så er det designet ud fra forsigtighedsprincippet. Det betyder, at udviklerne har arbejdet ud fra, at filtret skal kunne fortolke kode, der afvikles under en bred vifte af platforme til webapplikationer.

Samtidig må filtreringen heller ikke skabe nye sårbarheder ved at fjerne stumper af scriptkode, der efterlader applikationen åben over for indsættelse af ondsindet kode.

Filtret vil dog være effektivt nok til at blokere for titusindvis af dokumenterede XSS-sårbarheder og visse IFRAME-sårbarheder, skriver David Ross.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere