Вверх

Реклама

Статистика

Яндекс.Метрика

   

Механизм, защищающий браузер Edge от XSS-атак, работает некорректно

Механизм, защищающий браузер Edge от XSS-атак, работает некорректно

Аналитик компании PortSwigger, Гарет Хейес (Gareth Heyes) обнаружил, что механизм, призванный защищать браузер Microsoft Edge от XSS-атак, не работает по неизвестным причинам.

В своей публикации, посвященной проблеме, специалист называет эту функциональность просто XSS Filter, но она также известна под именем X-XSS-Protection, так как владельцы сайтов конфигурируют для сервера HTTP-хэдер X-XSS-Protection. Этот защитный механизм был создан еще в 2008 году и сначала был интегрирован в Internet Explorer 8, а уже позже был адаптирован и для Edge.

В теории XSS Filter работает просто: браузер загружает с сайта страницу и ищет вышеупомянутый хэдер, значение которого должно выглядеть следующим образом:

  • X-XSS-Protection: 0 (отключает XSS Filter);
  • X-XSS-Protection: 1 (XSS Filter работает, очищает код страницы и исключает последовательности, специфичные для XSS-атак);
  • X-XSS-Protection: 1; mode=block (блокирует рендеринг любого контента, если обнаруживает на странице специфичные для XSS паттерны).

С самого релиза браузер Edge использует по умолчанию второй из перечисленных вариантов, то есть очищает код страниц в ходе загрузки, и неважно, какое значение установлено в X-XSS-Protection.

Однако Хейес обнаружил, что на прошлой неделе что-то изменились и, хуже того, сломалось. Исследователь пишет, что теперь XSS Filter отключен по умолчанию по неким неизвестным причинам, и даже если попытаться активировать его через X-XSS-Protection: 1, он все равно останется в неработающем состоянии. Единственный способ активации защитного механизма, это самый жесткий из трех режимов работы — X-XSS-Protection: 1; mode=block, которого большинство владельцев сайтов стараются избегать, так как тогда Edge может блокировать загрузку сайта вовсе.

Так как в Internet Explorer защитный механизм по-прежнему функционирует как должно, исследователь полагает, что неожиданное отключение XSS Filter в Edge – это банальный баг. Но представители Microsoft отказались как-либо комментировать находку Хейеса, поэтому есть шанс, что отказ от XSS Filter все же был запланирован. Здесь стоит отметить, что обход защитной функциональности не раз демонстрировали ИБ-специалисты (1, 2, 3), а владельцы сайтов с завидной регулярностью неверно понимают принципы работы XSS Filter и настраивают его неверно. В итоге защитная функциональность довольно редко используется «в полную силу».

Популярные видеобзоры

Обзор жесткого диска Toshiba X300 HDWE140 4 Tb

Toshiba X300 HDWE140 4 Tb

Помню когда то давно, когда я учился в университете, нам на первом курсе всем велели завести дискеты, потому что мы будем много составлять документов на компьютере. Мы с друзьями пошли в специализированный магазин и купили себе по дискете, разных цветов, черную, белую и синюю, чтобы потом меняться и не перепутать. Вроде бы и влезало всего несколько вордовских документов, но эти дискеты уже отличали нас, как людей получающих высшее образование. Конечно сейчас эти дискеты давно забыты, и объемы информации стали совершенно другими, по этому и носители нужны вмещающие большие объемы информации.

Подробнее...

Обзор роутера Mikrotik RB2011iLS-IN

маршрутизатор Mikrotik RB2011iLS-IN Роутер латвийской компании Микротик, роутеры данной компании мастерская Тардис использует уже довольно давно при настройке Wi-Fi сетей, как в офисах, кафе, и других местах общественного пользования, так и в домашних условиях.

Здесь присутствуют 10 ethernet интерфейсов, (1Гб/с - 5 шт. и 100Мб/с - 5 шт.) и мастерская Тардис характеризует его как раз как маршрутизатор для домашнего пользования, настроить и слепить из него можно почти все что может быть необходимо продвинутому пользователю.

Подробнее...

Заказ обратного звонка

Перезвоним через 30 секунд.