Google избавится от встроенной в Chrome функции безопасности XSS Auditor

Google избавится от встроенной в Chrome функции безопасности XSS Auditor

XSS Auditor стала неэффективной для защиты от XSS-атак.

Инженеры Google планируют убрать одну из встроенных в Chrome функций безопасности. По словам разработчика Chrome Томаса Сепеза (Thomas Sepez), известная под названием XSS Auditor функция больше не соответствует требованиям современной системы защиты.

XSS Auditor была добавлена в Chrome еще в 2010 году с релизом Chrome v4. Как следует из названия, функция защиты сканирует исходный код web-сайта на наличие паттернов, указывающих на XSS-атаку, способную запустить вредоносный код в браузере пользователя. В случае обнаружения подобной атаки, Chrome может удалить вредоносный код или заблокировать загрузку сайта, выдавая соответствующее уведомление.

В течение многих лет XSS Auditor являлась уникальной функцией в браузерной среде, помогая Chrome выделяться на фоне остальных браузеров. С момента запуска XSS Auditor аналогичный функционал начали реализовывать разработчики других браузеров при помощи расширений, например, NoScript уже несколько лет поддерживает механизм защиты от XSS-атак.

Существует несколько причин, по которым разработчики Google решили избавиться от XSS Auditor. В качестве первой и основной указываются многочисленные способы обхода XSS Auditor. Помимо этого, все попытки исправить данную уязвимость делают более уязвимым и сам Chrome. Существует также проблема с ложным срабатыванием, когда XSS Auditor блокировала доступ к официальным сайтам. В этой связи, с релизом Chrome 74 эксперты Google переключили режим "блокировать", установленный по умолчанию в XSS Auditor, на "фильтровать". То есть, с апреля 2019 года функция безопасности не блокирует доступ к содержащим XSS-код сайтам, а удаляет код, пытаясь сократить количество ложных срабатываний.

Работа над устаревшей XSS Auditor началась еще в октябре 2018 года. Инженеры Google пока не указали, в каком релизе функция безопасности будет отключена и удалена из кодовой базы Chrome.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.