Google entfernt XSS Auditor nach einer Reihe von Sicherheitslücken, die die Wirksamkeit dieser Funktion in Frage gestellt haben, aus dem Chrome-Browser.
Neulich wurde die Anti-XSS-Technologie als veraltet eingestuft und soll entfernt werden, wie die Entwickler von Chromium am 16. Juli in den Google Groups des Projekts bekannt gaben.
Nach den
Diskussionen der Chromium-Entwickler war diese Entscheidung mit den Problemen verbunden, die Seiten vieler vertrauenswürdiger Websites zu blockieren.
XSS Auditor hat seit seiner Einführung im Jahr 2010 in Chrome 4 mehr als nur aktive Debatten ausgelöst. Während seines Bestehens wurden zahlreiche Mängel festgestellt, die zur Ablehnung dieser Technologie führten.
Anfänglich arbeitete XSS Auditor im Filtermodus: Die Webressource wurde geladen, aber der verdächtige Code wurde blockiert, was uns nicht daran hinderte, viele Möglichkeiten zu finden, um den Schutz zu umgehen.
Im Laufe der Zeit haben Chrome-Entwickler beschlossen, das Standardverhalten in den Sperrmodus zu ändern. Diese Verteidigungsmethode war jedoch anfällig für einen
XS-Search / XS-Leak- Angriff. Außerdem führte dies häufig zu Fehlalarmen bei vertrauenswürdigen Ressourcen und zu deren Blockierung für Browserbenutzer.
Vor kurzem hat Auditor wieder begonnen, im Standardfiltermodus zu arbeiten (höchstwahrscheinlich, um den negativen Effekt durch falsch positive Ergebnisse zu verringern und vertrauenswürdige Sites zu blockieren).
Diese Entscheidung ließ jedoch ziemlich bald grundsätzliche Zweifel an der Wirksamkeit dieses Schutzmechanismus aufkommen. Wie Frederik Braun (Mozilla) in einer gemeinsamen Studie mit Mario Heiderich (Cure53) feststellte, wurde die Studie
„X-Frame-Optionen: Alles über Clickjacking?“ Der Filtermodus ist ein gefährlicher Ansatz und kann durch Setzen des
X-XSS-Protection- Headers ersetzt werden
: 1; mode = block , der im Prinzip auch kein Allheilmittel ist.
Es ist erwähnenswert, dass die Chromium-Entwickler bereits im Oktober 2018 vorgeschlagen haben, den XSS Auditor aufzugeben. Es wurde festgestellt, dass
"es keine Beweise dafür gibt, dass der Prüfer XSS stoppt".
In Zukunft ist die Verwendung des API-Standards für vertrauenswürdige Typen geplant, der mit einiger Wahrscheinlichkeit nicht nur in Google Chrome angewendet werden kann.