O Google está removendo um recurso de nove anos de idade em seu navegador Chrome, que detectou um ataque online comum. Não se preocupe, porém – outra medida de proteção, esperançosamente melhor, está a caminho.
Introduzido em 2010, o XSS Auditor é uma função interna do Chrome projetada para detectar vulnerabilidades de cross-site scripting (XSS). Em um ataque XSS, um agente malicioso injeta seu próprio código em um site legítimo. Eles podem fazer isso adicionando códigos maliciosos a um URL legítimo ou publicando conteúdo em um site que armazene e exiba o que eles publicaram (XSS persistente).
Quando alguém olha para o código injetado pelo invasor, ele executa um comando no navegador, que pode fazer qualquer coisa, desde roubar os cookies da vítima até tentar infectá-los com um vírus.
Os sites devem evitar esse tipo de ataque limpando os dados enviados pelos usuários, mas muitos não.
O Auditor de XSS tenta detectar vulnerabilidades de XSS enquanto o navegador está analisando HTML. Ele usa uma lista de bloqueio para identificar caracteres suspeitos ou tags HTML em parâmetros de solicitação, combinando-os com conteúdo para identificar invasores injetando código em uma página.
O problema que alguns desenvolvedores têm é que ele não captura todas as vulnerabilidades do XSS em um site. O código XSS que o recurso não detecta, chamado bypass, é comum on-line.
Os engenheiros do Google já haviam adaptado o Auditor XSS para filtrar códigos XSS problemáticos em vez de bloquear o acesso, citando “consequências indesejáveis”, mas isso claramente não era suficiente, e agora eles estão acabando com tudo.Como proteger as cargas de trabalho no AWS, no Azure e no GCPGuia de download
Ao discutir pela primeira vez o plano de aposentar o Auditor XSS, o engenheiro sênior de segurança do Google, Eduardo Vela Nava, disse :
Nós não encontramos nenhuma evidência de que o XSSAuditor para qualquer XSS, e em vez disso temos tido dificuldade em explicar aos desenvolvedores em escala, porque eles deveriam corrigir os bugs mesmo quando o navegador diz que o ataque foi interrompido. Nos últimos 3 meses, pesquisamos todos os erros internos do XSS que acionaram o XSSAuditor e pudemos encontrar desvios para todos eles.
Embora tenha havido algum retrocesso, os desenvolvedores parecem ter chegado a um consenso suficiente de que estão avançando com o plano. Ao anunciar a depreciação na segunda-feira, o engenheiro de segurança do Google, Thomas Sepez, disse :
Passeios são abundantes.
Isso impede que alguns sites legítimos funcionem.
Uma vez detectado, não há nada de bom para fazer.
Introduz vazamentos de informações entre sites.
Consertar todos os vazamentos de informações se mostrou difícil.
Sem o XSS Auditor, como os desenvolvedores da Web verificarão se os sites estão com bugs? Outro recurso está em desenvolvimento para ajudar: uma interface de programação de aplicativos (API) chamada Tipos Confiáveis . Os tipos confiáveis tratam a entrada do usuário como não confiável por padrão e obriga os desenvolvedores a tomar medidas para higienizá-lo antes que ele possa ser incluído em uma página da web.