Вверх

Реклама

Статистика

Яндекс.Метрика

   

Последние новости

Механизм, защищающий браузер Edge от XSS-атак, работает некорректно

Механизм, защищающий браузер Edge от XSS-атак, работает некорректно

Аналитик компании PortSwigger, Гарет Хейес (Gareth Heyes) обнаружил, что механизм, призванный защищать браузер Microsoft Edge от XSS-атак, не работает по неизвестным причинам.

В своей публикации, посвященной проблеме, специалист называет эту функциональность просто XSS Filter, но она также известна под именем X-XSS-Protection, так как владельцы сайтов конфигурируют для сервера HTTP-хэдер X-XSS-Protection. Этот защитный механизм был создан еще в 2008 году и сначала был интегрирован в Internet Explorer 8, а уже позже был адаптирован и для Edge.

В теории XSS Filter работает просто: браузер загружает с сайта страницу и ищет вышеупомянутый хэдер, значение которого должно выглядеть следующим образом:

  • X-XSS-Protection: 0 (отключает XSS Filter);
  • X-XSS-Protection: 1 (XSS Filter работает, очищает код страницы и исключает последовательности, специфичные для XSS-атак);
  • X-XSS-Protection: 1; mode=block (блокирует рендеринг любого контента, если обнаруживает на странице специфичные для XSS паттерны).

С самого релиза браузер Edge использует по умолчанию второй из перечисленных вариантов, то есть очищает код страниц в ходе загрузки, и неважно, какое значение установлено в X-XSS-Protection.

Однако Хейес обнаружил, что на прошлой неделе что-то изменились и, хуже того, сломалось. Исследователь пишет, что теперь XSS Filter отключен по умолчанию по неким неизвестным причинам, и даже если попытаться активировать его через X-XSS-Protection: 1, он все равно останется в неработающем состоянии. Единственный способ активации защитного механизма, это самый жесткий из трех режимов работы — X-XSS-Protection: 1; mode=block, которого большинство владельцев сайтов стараются избегать, так как тогда Edge может блокировать загрузку сайта вовсе.

Так как в Internet Explorer защитный механизм по-прежнему функционирует как должно, исследователь полагает, что неожиданное отключение XSS Filter в Edge – это банальный баг. Но представители Microsoft отказались как-либо комментировать находку Хейеса, поэтому есть шанс, что отказ от XSS Filter все же был запланирован. Здесь стоит отметить, что обход защитной функциональности не раз демонстрировали ИБ-специалисты (1, 2, 3), а владельцы сайтов с завидной регулярностью неверно понимают принципы работы XSS Filter и настраивают его неверно. В итоге защитная функциональность довольно редко используется «в полную силу».

Популярные видеобзоры

Обзор розетки Smart Socket EU Mini, управляемой по Wifi

Уважаемые читатели!

Мастерская Тардис предлагает вашему вниманию обзор, управляемой по WiFi, розетки Smart Socket EU Mini, модель TE101.

Обзор розетки Smart Socket EU Mini, управляемой по Wifi

Подробнее...

Сетевые фильтры. Сравнение BURO 100SH-Plus-W и MOST MHV

Сетевые фильтрыНа этот раз Мастерская Тардис решила рассмотреть поближе сетевые фильтры и понять подходят ли они для защиты  Ваших компьютеров. Разберем, посморим.

Подробнее...

Заказ обратного звонка

Перезвоним через 30 секунд.