Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Google избавится от встроенной в Chrome функции безопасности XSS Auditor

18/07/19

it18Инженеры Google планируют убрать одну из встроенных в Chrome функций безопасности. По словам разработчика Chrome Томаса Сепеза (Thomas Sepez), известная под названием XSS Auditor функция больше не соответствует требованиям современной системы защиты.

XSS Auditor была добавлена в Chrome еще в 2010 году с релизом Chrome v4. Как следует из названия, функция защиты сканирует исходный код web-сайта на наличие паттернов, указывающих на XSS-атаку, способную запустить вредоносный код в браузере пользователя. В случае обнаружения подобной атаки, Chrome может удалить вредоносный код или заблокировать загрузку сайта, выдавая соответствующее уведомление.

В течение многих лет XSS Auditor являлась уникальной функцией в браузерной среде, помогая Chrome выделяться на фоне остальных браузеров. С момента запуска XSS Auditor аналогичный функционал начали реализовывать разработчики других браузеров при помощи расширений, например, NoScript уже несколько лет поддерживает механизм защиты от XSS-атак.

Существует несколько причин, по которым разработчики Google решили избавиться от XSS Auditor. В качестве первой и основной указываются многочисленные способы обхода XSS Auditor. Помимо этого, все попытки исправить данную уязвимость делают более уязвимым и сам Chrome. Существует также проблема с ложным срабатыванием, когда XSS Auditor блокировала доступ к официальным сайтам. В этой связи, с релизом Chrome 74 эксперты Google переключили режим "блокировать", установленный по умолчанию в XSS Auditor, на "фильтровать". То есть, с апреля 2019 года функция безопасности не блокирует доступ к содержащим XSS-код сайтам, а удаляет код, пытаясь сократить количество ложных срабатываний.

Работа над устаревшей XSS Auditor началась еще в октябре 2018 года. Инженеры Google пока не указали, в каком релизе функция безопасности будет отключена и удалена из кодовой базы Chrome.

Темы:ОтрасльGoogle Chromeполитика компании
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...