Google 將刪除 Chrome 內建的 XSS 保護功能
谷歌工程師計劃刪除一項 Chrome 安全功能,該功能一直與多年來提供的保護措施不相符。
這款名為 XSS Auditor 的功能隨著 Google Chrome v4 的釋出於 2010 年新增到 Chrome 中。
顧名思義,XSS Auditor 掃描網站的原始碼,查詢看起來像是跨站點指令碼(XSS)攻擊的模式,這些模式可能會嘗試在使用者的瀏覽器中執行惡意程式碼。
如果找到已知的 XSS 模式,Chrome 可能會刪除惡意程式碼,或者可能阻止網站完全載入,顯示如下所示的錯誤。
多年來,XSS Auditor 一直是瀏覽器領域的一個獨特功能,它幫助 Chrome 獨立於其他瀏覽器,是唯一一款具有內建 XSS 保護功能的瀏覽器。
自推出以來,該功能已經在附加元件的幫助下在其他瀏覽器中得到了複製,其中最著名的是 NoScript 擴充套件,它已經具有多年的 XSS 保護機制。
XSS Auditor 現在已經充滿了漏洞
7 月 15 日星期一,谷歌工程師宣佈計劃棄用並刪除 Chrome 中的 XSS Auditor。
工程師列舉了刪除該功能的幾個原因。提到的第一個是在過去幾年中發現的眾多 XSS Auditor 旁路。
雖然 XSS Auditor 釋出後成為一個著名的功能,但現在它已經成為了一個亮點,bug 搜尋者開玩笑說,在找到一個 XSS Auditor 旁路之前,你並不是真正的安全研究人員。在短短的兩分鐘內,zdnet 發現十個XSS Auditor 只需谷歌搜尋就可以繞過。
此外,修補所有 XSS Auditor 旁路已經給 Chrome 本身帶來了漏洞。在宣佈 XSS Auditor 棄用的谷歌小組討論中,Chrome 工程師托馬斯·塞佩茲表示,XSS Auditor 已經引入了許多“跨站點資訊洩漏”,並且“修復所有資訊洩漏已經證明是困難的”。
還有誤報的問題;XSS Auditor 根據錯誤檢測阻止訪問合法站點的情況。
這就是為什麼隨著 Chrome 74 的釋出,Google 將預設的 XSS Auditor 模式從“阻止”切換為“過濾”,這意味著自 4 月以來, XSS Auditor 一直沒有阻止訪問包含 XSS 程式碼的網站,而是刪除了程式碼,試圖減少其工程師所獲得的誤報報告的數量。
要被可信型別 API 替換
去年 10 月開始著手棄用 XSS Auditor 元件。谷歌尚未指定哪些 Chrome 版本將禁用 XSS Auditor,最終將從 Chrome 程式碼庫中刪除。
好訊息是谷歌已經開始進行替換。今年 2 月,谷歌宣佈其工程師開發了可信型別 API,這是對基於 DOM 的 XSS 攻擊的新防禦,他們聲稱這將 “消除 DOM XSS”。
與作為 Chrome 元件的 XSS Auditor 不同,新的可信型別 API 是一種Web標準,理論上也可以包含在其他瀏覽器中。
根據 1 月份釋出的 Imperva 報告,XSS 漏洞是 2014 年、2015 年、2016 年和 2017 年最普遍的基於 Web 的攻擊形式。去年,它們是第二種最常見的基於Web的攻擊形式,但由於 SQL 注入攻擊中的一個不常見的尖峰,它們在頂級位置上消失了。
公司和安全專家經常忽略 XSS 漏洞,因為它們並不總是對訪問站點的使用者造成直接損害。然而,它們往往是複雜的漏洞利用程式中的第一個踏腳石,可以促進更具破壞性的攻擊。在許多情況下,消除XSS攻擊可以使使用者免受更復雜的攻擊,如果沒有 XSS 提供的初始立足點,這將是不可能的。
除了 Chrome 之外,另外兩個使用 XSS 過濾器的瀏覽器是 Internet Explorer 和 Edge。Microsoft 去年從 Edge 中刪除了 XSS 過濾器。作業系統和瀏覽器製造商引用了內容安全策略等現代標準,可以更有效地阻止網站級別的 XSS 攻擊。
來源:ZDNet
更多資訊
滴滴:上半年協助警方調證 6500 次,破獲 12 宗黑產案
7 月 16 日訊息,滴滴資料顯示,在出行安全問題上,今年上半年,已與多地警方合作,加強司機背審,配合警方完成調證 6500 多次,協助破獲黑產案 12 宗,邀請警方錄製行程播報。在行程前,滴滴進一步提升平臺稽核能力,加強司機背景審查,並在全國開展近百場司機安全培訓。
來源: TechWeb
詳情: http://www.dbsec.cn/zx/20190717-2.html
iOS13 和 iPadOS 爆安全漏洞:使用者名稱密碼或遭洩露
援引外媒報導,在 iOS 13 和 iPad OS 的最新測試版本中發現了一個安全漏洞,允許繞過安全機制訪問設定應用中的使用者名稱稱和密碼。 不過外媒也坦言該漏洞在實際場景中對於消費者的安全威脅並不大。
來源: 環球網
詳情: http://www.dbsec.cn/zx/20190717-3.html
券商經紀人迷上黑客技術:冒充董事長,盜取 413 萬條客戶資料
一名 80 後券商經紀人,電腦技術高超,本可以有不錯的前途,但是卻一時誤入歧途,用自己的技術從事違法的勾當,最終落了個鋃鐺入獄的下場。
來源: 每日經濟新聞
詳情: http://www.dbsec.cn/zx/20190717-4.html
70% 的保加利亞個人資訊遭黑客竊取,併發給了當地媒體
一名神祕的黑客(或黑客組織)竊取了數百萬保加利亞人的個人詳細資訊,並通過電子郵件將下載連結傳送給當地新聞出版物。
來源: ZDNet
詳情: http://www.dbsec.cn/zx/20190717-5.html
(資訊來源於網路,安華金和蒐集整理)
訂閱“Linux 中國”官方小程式來檢視
相關文章
- 如何刪除word文件密碼保護 解除word文件保護密碼密碼
- 如何刪除win10所有內建應用_windows10刪除內建應用的方法Win10Windows
- word怎麼取消開啟文件的保護密碼 word文件刪除密碼保護密碼
- win10 刪除內建軟體方法 怎麼刪除windows10下的內建軟體Win10Windows
- 谷歌Chrome瀏覽器正測試ECH隱私保護功能谷歌Chrome瀏覽器
- Google Chrome除錯js入門GoChrome除錯JS
- Google Chrome 將增加對 HTTP Exchanges 的支援GoChromeHTTP
- Google Chrome 除錯JS簡單教程GoChrome除錯JS
- 直播app開發,保護直播內容新增的禁止截圖功能APP
- 軟體保護建議
- Android系統將內建濾鏡功能Android
- Dart語言遭遇重大挫折:Chrome將不再內建Dart VMDartChrome
- 刪除google網頁快照方法Go網頁
- 如何在聯想桌上型電腦上刪除原裝的硬碟保護系統硬碟
- TapTap“遊戲事故保護”功能釋出APT遊戲
- windows10怎麼刪除賬戶資訊 win10如何刪除內建賬戶資訊WindowsWin10
- google chromeGoChrome
- vue 左滑刪除功能Vue
- 如何刪除字串內部的空格字串
- 在macOS上擴充套件對Chrome使用者的保護Mac套件Chrome
- google chrome 除錯技巧:監控 DOM 元素被修改GoChrome除錯
- 一個 Chrome XSS Filter Bypass 的分析ChromeFilter
- javascript cookie的儲存和刪除功能JavaScriptCookie
- [擴充套件包] Laravel-softdeletes 讓資料表支援唯一索引,用於替代內建的軟刪除功能套件Laraveldelete索引
- js保護內部資料的三種方式JS
- 刪除內聯元素之間的空隙
- Google Chrome即將開始警告—停止支援Flash PlayerGoChrome
- WPS文字中的表格也保護密碼功能密碼
- 開發者注意了,! Google Play兒童保護政策對應用內容與廣告提出了新要求Go
- Google加強版權保護 簡化投訴流程Go
- Mac 將 Sublime 徹底刪除Mac
- 用智慧財產權保護專案,構建產品的護城河
- ASM磁碟簡單維護,新增,刪除ASM
- 內鬼洩密猛於駭客! 如何保護防火牆內的世界?防火牆
- 仿 iOS 列表的編輯功能 – 刪除篇iOS
- 仿 iOS 列表的編輯功能 - 刪除篇iOS
- 有意思的遊戲:GoogleXSSGame遊戲GoGAM
- W3C 正式將 DRM 保護納入 HTML5 建議標準HTML