當前位置:
首頁 > 知識 > Google 將刪除 Chrome 內置的 XSS 保護功能

Google 將刪除 Chrome 內置的 XSS 保護功能

Google 將刪除 Chrome 內置的 XSS 保護功能


谷歌工程師計劃刪除一項 Chrome 安全功能,該功能一直與多年來提供的保護措施不相符。

作者/來源: 安華金和

谷歌工程師計劃刪除一項 Chrome 安全功能,該功能一直與多年來提供的保護措施不相符。

這款名為 XSS Auditor 的功能隨著 Google Chrome v4 的發佈於 2010 年添加到 Chrome 中。

顧名思義,XSS Auditor 掃描網站的源代碼,查找看起來像是跨站點腳本(XSS)攻擊的模式,這些模式可能會嘗試在用戶的瀏覽器中運行惡意代碼。

如果找到已知的 XSS 模式,Chrome 可能會刪除惡意代碼,或者可能阻止網站完全載入,顯示如下所示的錯誤。

多年來,XSS Auditor 一直是瀏覽器領域的一個獨特功能,它幫助 Chrome 獨立於其他瀏覽器,是唯一一款具有內置 XSS 保護功能的瀏覽器。

自推出以來,該功能已經在附加組件的幫助下在其他瀏覽器中得到了複製,其中最著名的是 NoScript 擴展,它已經具有多年的 XSS 保護機制。

XSS Auditor 現在已經充滿了漏洞

7 月 15 日星期一,谷歌工程師宣布計劃棄用並刪除 Chrome 中的 XSS Auditor。

工程師列舉了刪除該功能的幾個原因。提到的第一個是在過去幾年中發現的眾多 XSS Auditor 旁路。

雖然 XSS Auditor 發布後成為一個著名的功能,但現在它已經成為了一個亮點,bug 搜尋者開玩笑說,在找到一個 XSS Auditor 旁路之前,你並不是真正的安全研究人員。在短短的兩分鐘內,zdnet 發現十個XSS Auditor 只需谷歌搜索就可以繞過。

此外,修補所有 XSS Auditor 旁路已經給 Chrome 本身帶來了漏洞。在宣布 XSS Auditor 棄用的谷歌小組討論中,Chrome 工程師托馬斯·塞佩茲表示,XSS Auditor 已經引入了許多「跨站點信息泄漏」,並且「修復所有信息泄漏已經證明是困難的」。

還有誤報的問題;XSS Auditor 根據錯誤檢測阻止訪問合法站點的情況。

這就是為什麼隨著 Chrome 74 的發布,Google 將默認的 XSS Auditor 模式從「阻止」切換為「過濾」,這意味著自 4 月以來, XSS Auditor 一直沒有阻止訪問包含 XSS 代碼的網站,而是刪除了代碼,試圖減少其工程師所獲得的誤報報告的數量。

要被可信類型 API 替換

去年 10 月開始著手棄用 XSS Auditor 組件。谷歌尚未指定哪些 Chrome 版本將禁用 XSS Auditor,最終將從 Chrome 代碼庫中刪除。

好消息是谷歌已經開始進行替換。今年 2 月,谷歌宣布其工程師開發了可信類型 API,這是對基於 DOM 的 XSS 攻擊的新防禦,他們聲稱這將 「消除 DOM XSS」。

與作為 Chrome 組件的 XSS Auditor 不同,新的可信類型 API 是一種Web標準,理論上也可以包含在其他瀏覽器中。

根據 1 月份發布的 Imperva 報告,XSS 漏洞是 2014 年、2015 年、2016 年和 2017 年最普遍的基於 Web 的攻擊形式。去年,它們是第二種最常見的基於Web的攻擊形式,但由於 SQL 注入攻擊中的一個不常見的尖峰,它們在頂級位置上消失了。

公司和安全專家經常忽略 XSS 漏洞,因為它們並不總是對訪問站點的用戶造成直接損害。然而,它們往往是複雜的漏洞利用程序中的第一個踏腳石,可以促進更具破壞性的攻擊。在許多情況下,消除XSS攻擊可以使用戶免受更複雜的攻擊,如果沒有 XSS 提供的初始立足點,這將是不可能的。

除了 Chrome 之外,另外兩個使用 XSS 過濾器的瀏覽器是 Internet Explorer 和 Edge。Microsoft 去年從 Edge 中刪除了 XSS 過濾器。操作系統和瀏覽器製造商引用了內容安全策略等現代標準,可以更有效地阻止網站級別的 XSS 攻擊。

來源:ZDNet


更多資訊

滴滴:上半年協助警方調證 6500 次,破獲 12 宗黑產案7 月 16 日消息,滴滴數據顯示,在出行安全問題上,今年上半年,已與多地警方合作,加強司機背審,配合警方完成調證 6500 多次,協助破獲黑產案 12 宗,邀請警方錄製行程播報。在行程前,滴滴進一步提昇平台審核能力,加強司機背景審查,並在全國開展近百場司機安全培訓。

來源: TechWeb

詳情: http://www.dbsec.cn/zx/20190717-2.html

iOS13 和 iPadOS 爆安全漏洞:用戶名密碼或遭泄露援引外媒報道,在 iOS 13 和 iPad OS 的最新測試版本中發現了一個安全漏洞,允許繞過安全機制訪問設置應用中的用戶名稱和密碼。 不過外媒也坦言該漏洞在實際場景中對於消費者的安全威脅並不大。

來源: 環球網

詳情: http://www.dbsec.cn/zx/20190717-3.html

券商經紀人迷上黑客技術:冒充董事長,盜取 413 萬條客戶資料一名 80 後券商經紀人,電腦技術高超,本可以有不錯的前途,但是卻一時誤入歧途,用自己的技術從事違法的勾當,最終落了個鋃鐺入獄的下場。

來源: 每日經濟新聞

詳情: http://www.dbsec.cn/zx/20190717-4.html

70% 的保加利亞個人信息遭黑客竊取,並發給了當地媒體一名神秘的黑客(或黑客組織)竊取了數百萬保加利亞人的個人詳細信息,並通過電子郵件將下載鏈接發送給當地新聞出版物。

來源: ZDNet

詳情: http://www.dbsec.cn/zx/20190717-5.html

(信息來源於網路,安華金和搜集整理)


點擊「了解更多」可訪問文內鏈接

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 Linux技術 的精彩文章:

癱瘓2周後,美國又一城市宣布向黑客支付價值將近50萬美元的贖金
Ubuntu 母公司的 GitHub 賬號被入侵,尚未觀察到修改源代碼

TAG:Linux技術 |