Google supprime XSS Auditor du navigateur Chrome après une série de vulnérabilités qui ont remis en question l'efficacité de cette fonctionnalité.
L'autre jour, la technologie Anti-XSS a été reconnue obsolète et devrait être supprimée, comme l'ont
annoncé les développeurs de Chromium le 16 juillet dans Google Groupes du projet.
À en juger par les
discussions des développeurs de Chromium, cette décision était liée aux problèmes de blocage des pages de nombreux sites de confiance.
XSS Auditor, depuis son introduction en 2010 dans Chrome 4, a généré plus qu'un débat actif. Au cours de son existence, de nombreuses lacunes ont été identifiées qui ont provoqué le rejet de cette technologie.
Initialement, XSS Auditor fonctionnait en mode filtrage: la ressource Web était chargée, mais le code suspect était bloqué, ce qui ne nous empêchait pas de trouver de nombreuses façons de contourner la protection.
Au fil du temps, les développeurs de Chrome ont décidé de basculer le comportement par défaut en mode verrouillage. Cependant, cette méthode de défense était vulnérable à une attaque
XS-Search / XS-Leak . En outre, cela a souvent conduit à des faux positifs sur les ressources fiables et à leur blocage pour les utilisateurs de navigateur.
Récemment, Auditor a recommencé à travailler dans le mode de filtrage par défaut (très probablement, pour réduire l'effet négatif avec les faux positifs et le blocage des sites de confiance).
Mais cette décision a rapidement soulevé des doutes de principe sur l'efficacité de ce mécanisme de protection. Comme l'a noté Frederik Braun (Mozilla) dans une étude conjointe avec Mario Heiderich (Cure53), l'étude
«X-Frame-Options: Tout sur le Clickjacking?» , le mode de filtrage est une approche dangereuse et pourrait bien être remplacé en définissant l'en
- tête
X-XSS-Protection: 1; mode = block , qui, en principe, n'est pas non plus une panacée.
Il convient de noter que le processus d'abandon de l'auditeur XSS a été proposé par les développeurs de Chromium en octobre 2018. Il a été noté qu '
"il n'y a aucune preuve que l'auditeur arrête un XSS" .
À l'avenir, il est prévu d'utiliser la norme API Trusted Types, qui, avec une certaine probabilité, peut être appliquée non seulement dans Google Chrome.