تزيل Google XSS Auditor من متصفح Chrome بعد سلسلة من الثغرات الأمنية التي تساءلت عن فعالية هذه الميزة.
اليوم الآخر تم التعرف على تقنية Anti-XSS التي عفا عليها الزمن ومن المخطط إزالتها ، كما أعلن مطورو Chromium في 16 يوليو في مجموعات Google للمشروع.
بناءً على
مناقشات مطوري Chromium ، تم ربط هذا القرار بمشاكل حظر صفحات العديد من المواقع الموثوقة.
أثار XSS Auditor ، منذ طرحه في عام 2010 في Chrome 4 ، أكثر من مجرد نقاش نشط. خلال وجودها ، تم تحديد العديد من أوجه القصور التي تسببت في رفض هذه التكنولوجيا.
في البداية ، عمل XSS Auditor في وضع التصفية: تم تحميل مورد الويب ، ولكن تم حظر الكود المشبوه ، مما لم يمنعنا من إيجاد العديد من الطرق لتجاوز الحماية.
بمرور الوقت ، قرر مطورو Chrome تبديل السلوك الافتراضي إلى وضع التأمين. ومع ذلك ، كانت طريقة الدفاع هذه عرضة لهجوم
XS-Search / XS-Leak . أيضًا ، أدى ذلك غالبًا إلى إيجابية خاطئة بشأن الموارد الموثوق بها وإلى حظرها على مستخدمي المتصفح.
في الآونة الأخيرة ، بدأ Auditor العمل في وضع التصفية الافتراضي
مرة أخرى (على الأرجح ، لتقليل التأثير السلبي بالإيجابيات الخاطئة ومنع المواقع الموثوق بها).
لكن هذا القرار سرعان ما أثار الشكوك من حيث المبدأ حول فعالية هذه الآلية الوقائية. كما لاحظ فريدريك براون (موزيلا) في دراسة مشتركة مع ماريو هيديريش (Cure53) ، فإن الدراسة
"خيارات الإطار X: كل شيء عن Clickjacking؟" ، يعتبر وضع التصفية طريقة خطيرة وقد يتم استبداله بوضع رأس
X-XSS-Protection: 1؛ وضع = كتلة ، والتي ، من حيث المبدأ ، هي أيضا ليست حلا سحريا.
تجدر الإشارة إلى أن عملية التخلي عن XSS Auditor اقترحها مطورو Chromium مرة أخرى في أكتوبر 2018. ولوحظ أنه
"لا يوجد دليل على أن المراجع يوقف أي XSS .
"
في المستقبل ، من المخطط استخدام معيار API للأنواع الموثوقة ، والذي يمكن تطبيقه مع بعض الاحتمالات ليس فقط في Google Chrome.