Google 將刪除 Chrome 內置的 XSS 保護功能

知識 07-17

谷歌工程師計劃刪除一項 Chrome 安全功能，該功能一直與多年來提供的保護措施不相符。

作者/來源：安華金和

谷歌工程師計劃刪除一項 Chrome 安全功能，該功能一直與多年來提供的保護措施不相符。

這款名為 XSS Auditor 的功能隨著 Google Chrome v4 的發佈於 2010 年添加到 Chrome 中。

顧名思義，XSS Auditor 掃描網站的源代碼，查找看起來像是跨站點腳本（XSS）攻擊的模式，這些模式可能會嘗試在用戶的瀏覽器中運行惡意代碼。

如果找到已知的 XSS 模式，Chrome 可能會刪除惡意代碼，或者可能阻止網站完全載入，顯示如下所示的錯誤。

多年來，XSS Auditor 一直是瀏覽器領域的一個獨特功能，它幫助 Chrome 獨立於其他瀏覽器，是唯一一款具有內置 XSS 保護功能的瀏覽器。

自推出以來，該功能已經在附加組件的幫助下在其他瀏覽器中得到了複製，其中最著名的是 NoScript 擴展，它已經具有多年的 XSS 保護機制。

XSS Auditor 現在已經充滿了漏洞

7 月 15 日星期一，谷歌工程師宣布計劃棄用並刪除 Chrome 中的 XSS Auditor。

工程師列舉了刪除該功能的幾個原因。提到的第一個是在過去幾年中發現的眾多 XSS Auditor 旁路。

雖然 XSS Auditor 發布後成為一個著名的功能，但現在它已經成為了一個亮點，bug 搜尋者開玩笑說，在找到一個 XSS Auditor 旁路之前，你並不是真正的安全研究人員。在短短的兩分鐘內，zdnet 發現十個XSS Auditor 只需谷歌搜索就可以繞過。

此外，修補所有 XSS Auditor 旁路已經給 Chrome 本身帶來了漏洞。在宣布 XSS Auditor 棄用的谷歌小組討論中，Chrome 工程師托馬斯·塞佩茲表示，XSS Auditor 已經引入了許多「跨站點信息泄漏」，並且「修復所有信息泄漏已經證明是困難的」。

還有誤報的問題；XSS Auditor 根據錯誤檢測阻止訪問合法站點的情況。

這就是為什麼隨著 Chrome 74 的發布，Google 將默認的 XSS Auditor 模式從「阻止」切換為「過濾」，這意味著自 4 月以來， XSS Auditor 一直沒有阻止訪問包含 XSS 代碼的網站，而是刪除了代碼，試圖減少其工程師所獲得的誤報報告的數量。

要被可信類型 API 替換

去年 10 月開始著手棄用 XSS Auditor 組件。谷歌尚未指定哪些 Chrome 版本將禁用 XSS Auditor，最終將從 Chrome 代碼庫中刪除。

好消息是谷歌已經開始進行替換。今年 2 月，谷歌宣布其工程師開發了可信類型 API，這是對基於 DOM 的 XSS 攻擊的新防禦，他們聲稱這將「消除 DOM XSS」。

與作為 Chrome 組件的 XSS Auditor 不同，新的可信類型 API 是一種Web標準，理論上也可以包含在其他瀏覽器中。

根據 1 月份發布的 Imperva 報告，XSS 漏洞是 2014 年、2015 年、2016 年和 2017 年最普遍的基於 Web 的攻擊形式。去年，它們是第二種最常見的基於Web的攻擊形式，但由於 SQL 注入攻擊中的一個不常見的尖峰，它們在頂級位置上消失了。

公司和安全專家經常忽略 XSS 漏洞，因為它們並不總是對訪問站點的用戶造成直接損害。然而，它們往往是複雜的漏洞利用程序中的第一個踏腳石，可以促進更具破壞性的攻擊。在許多情況下，消除XSS攻擊可以使用戶免受更複雜的攻擊，如果沒有 XSS 提供的初始立足點，這將是不可能的。

除了 Chrome 之外，另外兩個使用 XSS 過濾器的瀏覽器是 Internet Explorer 和 Edge。Microsoft 去年從 Edge 中刪除了 XSS 過濾器。操作系統和瀏覽器製造商引用了內容安全策略等現代標準，可以更有效地阻止網站級別的 XSS 攻擊。

來源：ZDNet

點擊「了解更多」可訪問文內鏈接

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 Linux技術 的精彩文章: