Google menghapus Auditor XSS dari browser Chrome setelah serangkaian kerentanan yang mempertanyakan efektivitas fitur ini.
Suatu hari teknologi Anti-XSS diakui usang dan direncanakan untuk dihapus, seperti yang
diumumkan oleh pengembang Chromium pada 16 Juli di Grup Google proyek tersebut.
Menilai dari
diskusi pengembang Chromium, keputusan ini terkait dengan masalah memblokir halaman dari banyak situs tepercaya.
Auditor XSS, sejak diperkenalkan pada 2010 di Chrome 4, telah menghasilkan lebih dari debat aktif. Selama keberadaannya, banyak kekurangan diidentifikasi yang menyebabkan penolakan teknologi ini.
Awalnya, Auditor XSS bekerja dalam mode pemfilteran: sumber daya web dimuat, tetapi kode yang mencurigakan diblokir, yang tidak menghalangi kami menemukan banyak cara untuk memintas perlindungan.
Seiring waktu, pengembang Chrome memutuskan untuk mengalihkan perilaku default ke mode kunci. Namun, metode pertahanan ini rentan terhadap serangan
XS-Search / XS-Leak . Selain itu, sering menyebabkan positif palsu pada sumber daya yang dapat dipercaya dan pemblokiran mereka untuk pengguna browser.
Baru-baru ini, Auditor mulai bekerja
lagi dalam mode penyaringan default (kemungkinan besar, untuk mengurangi efek negatif dengan positif palsu dan memblokir situs tepercaya).
Namun keputusan ini dengan segera menimbulkan keraguan pada prinsipnya tentang efektivitas mekanisme perlindungan ini. Seperti dicatat oleh Frederik Braun (Mozilla) dalam studi bersama dengan Mario Heiderich (Cure53),
"X-Frame-Options: Semua tentang Clickjacking?" , mode penyaringan adalah pendekatan yang berbahaya dan mungkin dapat diganti dengan mengatur header
X-XSS-Protection: 1; mode = blok , yang, pada prinsipnya, juga bukan obat mujarab.
Perlu dicatat bahwa proses meninggalkan Auditor XSS diusulkan oleh pengembang Chromium pada Oktober 2018. Telah dicatat bahwa
"tidak ada bukti bahwa auditor menghentikan XSS .
"
Di masa mendatang, direncanakan untuk menggunakan standar API Jenis Tepercaya, yang kemungkinan besar dapat diterapkan tidak hanya di Google Chrome.