O Google remove o XSS Auditor do navegador Chrome após uma série de vulnerabilidades que questionaram a eficácia desse recurso.
Outro dia, a tecnologia Anti-XSS foi reconhecida como obsoleta e está planejada para remoção, como
anunciaram os desenvolvedores do Chromium em 16 de julho nos Grupos do Google do projeto.
A julgar pelas
discussões dos desenvolvedores
do Chromium, essa decisão estava relacionada aos problemas de bloquear as páginas de muitos sites confiáveis.
O XSS Auditor, desde a sua introdução em 2010 no Chrome 4, gerou mais do que um debate ativo. Durante sua existência, foram identificadas inúmeras falhas que causaram a rejeição dessa tecnologia.
Inicialmente, o XSS Auditor trabalhou no modo de filtragem: o recurso da Web foi carregado, mas o código suspeito foi bloqueado, o que não nos impediu de encontrar muitas maneiras de ignorar a proteção.
Com o tempo, os desenvolvedores do Chrome decidiram mudar o comportamento padrão para o modo de bloqueio. No entanto, esse método de defesa estava vulnerável a um ataque
XS-Search / XS-Leak . Além disso, muitas vezes gerava falsos positivos em recursos confiáveis e bloqueava os usuários do navegador.
Recentemente, o Auditor começou
a trabalhar
novamente no modo de filtragem padrão (provavelmente, para reduzir o efeito negativo com falsos positivos e bloquear sites confiáveis).
Mas essa decisão logo levantou dúvidas em princípio sobre a eficácia desse mecanismo de proteção. Conforme observado por Frederik Braun (Mozilla) em um estudo conjunto com Mario Heiderich (Cure53),
"Opções de quadros X: tudo sobre o Clickjacking?" , o modo de filtragem é uma abordagem perigosa e pode ser substituída pela configuração do cabeçalho
X-XSS-Protection: 1; mode = block , que, em princípio, também não é uma panacéia.
Vale ressaltar que o processo de abandono do XSS Auditor foi proposto pelos desenvolvedores do Chromium em outubro de 2018. Observou-se que
"não há evidências de que o auditor esteja interrompendo qualquer XSS" .
No futuro, está planejado usar o padrão da API Trusted Types, que com alguma probabilidade pode ser aplicado não apenas no Google Chrome.