События

В Microsoft Edge «сломалась» одна из функций безопасности

В браузере Microsoft Edge перестал работать XSS-фильтр - механизм безопасности, предотвращающий межсайтовое выполнение сценариев (XSS-атака) в браузерах. На проблему обратил внимание специалист компании PortSwigger Гарет Хэйес (Gareth Heyes).

Впервые данная функция появилась в Internet Explorer 8, а позже была реализована в Edge и других интернет-обозревателях, таких как Google Chrome и Apple Safari. Функционал также известен как X-XSS-Protection. Заголовок X-XSS-Protection предназначен для включения фильтра межсайтового скриптинга, встроенного во всех современных браузерах. При загрузке страницы, содержащей данный заголовок, браузер активирует параметры XSS-фильтра в зависимости от указанных значений X-XSS-Protection - "X-XSS-Protection: 0", "X-XSS-Protection: 1" или "X-XSS-Protection: 1; mode=block". В первом случае браузер отключает фильтр, во втором проверяет код страницы и устраняет элементы, специфические для XSS-атак, в третьем - блокирует отображение контента на странице при обнаружении признаков XSS-атаки.

В последние три года Edge по умолчанию проверял код любой загружаемой страницы вне зависимости от того, сконфигурирован заголовок X-XSS-Protection или нет. Однако несколько дней назад Хэйес обнаружил, что настройки XSS-фильтра не работают привычным образом. По его словам, теперь функция по умолчанию отключена. Даже при попытке активировать защиту с помощью "X-XSS-Protection: 1" она остается отключенной. Судя по тому, что в Internet Explorer XSS-фильтр работает как положено, речь может идти об ошибке, а не намеренных изменениях со стороны Microsoft. Более того, XSS-фильтр возможно включить, если в заголовке X-XSS-Protection указано значение "X-XSS-Protection: 1; mode=block", чего многие владельцы сайтов стараются избегать, поскольку в таком случае Edge перестает отображать сайты.

Специалист проинформировал Microsoft о проблеме, однако инженеры компании не предоставили пояснений по данному вопросу.

Межсайтовый скриптинг (Cross Site Scripting) — уязвимость, позволяющая злоумышленнику внедрить вредоносный код (обычно HTML или JavaScript) в содержимое сайта. Вредоносный код выполняется в браузере пользователя, который просматривает зараженную страницу сайта.

Источник

Автор: Сергей Куприянов
22.07.2018 (11:27)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.