谷歌准备放弃存在9年的XSS检测工具

2019 年 7 月 23 日

谷歌准备放弃存在9年的XSS检测工具

谷歌正在移除其 Chrome 网络浏览器中已经存在 9 年的一个功能,该功能可以帮助避免一些潜在的在线攻击。不过,别担心——优化的保护方案也即将出台。


XSS Auditor


XSS Auditor 是 2010 年推出的一个内置 Chrome 函数,用于检测跨站点脚本(XSS)漏洞。在 XSS 攻击中,恶意行为者将自己的代码注入合法网站。他们可以通过在合法 URL 中添加恶意代码,或者将内容发布到存储和显示所发布内容的站点(持久性 XSS)来实现这一点。


当有人查看攻击者注入的代码时,它会在浏览器中执行一条命令,这条命令可以做任何事情,从窃取受害者的 cookie 到试图用病毒感染他们。


网站应该通过对用户提交的数据进行检查来防止此类攻击,但很多网站并没有这么做。


XSS Auditor 尝试在浏览器解析 HTML 时检测 XSS 漏洞。它使用块列表来识别请求参数中的可疑字符或 HTML 标记,并将它们与内容进行匹配,以发现将代码注入页面的攻击者。


有些开发人员的问题是,它不能捕获站点中的所有 XSS 漏洞。该特性没有发现的 XSS 代码(称为旁路)在网上很常见。


谷歌的工程师已经在使用 XSS Auditor 来筛选过滤可疑的 XSS 代码,而不是完全阻塞访问,以防止给大家带来“不良后果”,但这似乎还不够,现在他们想要完全消除它。


移除 XSS Auditor 后的影响


谷歌高级安全工程师 Eduardo Vela Nava 首次讨论取消 XSS Auditor 的计划时,他说


我们没有发现任何证据表明XSS Auditor有效控制了XSS,相反,我们向开发人员解释为什么他们应该修复bug时遇到了很多的困难,即便浏览器显示攻击已经发生过了。在过去的3个月中,我们调查了所有触发XSS Auditor的内部XSS bug,并找到了所有这些bug的旁路。


虽然有一些阻力,但开发人员似乎已经达成了足够的共识,他们将继续推进该计划。谷歌安全工程师托马斯·塞佩兹周一宣布了这一声明,他说:


XSS检查经常被绕过,有时候也会阻止一些合法站点的工作。XSS漏洞一旦被发现,再采取行动实际已经晚了。它还会引入跨站点的信息泄漏。事实证明,很难修复所有的信息泄露。


如果没有 XSS Auditor,web 开发人员将如何检查他们的站点是否存在 bug ?Auditor 的另一个作用是在开发中提供帮助:一个称为可信类型的应用程序编程接口(API)。受信任类型默认情况下将用户输入视为不可信的,并强制开发人员在将其包含在 web 页面之前对其进行清理。


英文原文:https://nakedsecurity.sophos.com/2019/07/18/google-chrome-is-ditching-its-xss-detection-tool/)


2019 年 7 月 23 日 19:331848

评论

发布
暂无评论
发现更多内容

阿里巴巴Java开发手册泰山版解读

Bruce Duan

如何写作一本书(2):前言与正文

英子编辑

技术 写作

和邓小平、基辛格“谈笑风生”的世界第一女记者:奥琳亚娜·法拉奇

赵新龙

记者 编辑 采访 法拉奇

如何优雅滴在手机上跑Python代码

王坤祥

Python 移动应用 手机编程

消息队列Kafka - acks参数

Java收录阁

kafka

韦小宝真的幸福吗 | Random Forest

张利东

Python 学习

你真的理解 Java 的基础数据类型吗

Rayjun

Java

经济大萧条对我的启示

Neco.W

创业 自我管理 职场 自我提升

InfoQ写作平台首秀,来个自我介绍

nuhcoad

个人感想

下一代存储NVMe over Fabrics

HU

南丁格尔科普

Sicolas Flamel

为什么正在使用的Java版本跟环境变量的版本不一致

阡陌r

Java 踩坑

使用 jsDelivr 免费加速 GitHub Pages 博客的静态资源

mzlogin

CDN Jekyll GitHub Pages 个人博客

“我代码写完了,QA可以测了。”

蔡建斌

Scrum 敏捷 质量管理 测试

Day 47|Week 07-5 曾国藩家书|问学篇-学问何处何时都可做

熊小北同学

MySQL中order by语句的实现原理以及优化手段

天堂

Java MySQL 性能优化

DDD 实践手册(2. 实现分层架构)

Joshua

设计模式 领域驱动设计 DDD 系统架构 分层架构

我愿沉迷于学习,无法自拔(一)

孙瑜

深度思考 个人成长

多云的一点思考

HU

Java并发编程系列——锁

孙苏勇

Java Java并发 并发编程 多线程

从数据闭环谈微服务拆分

松花皮蛋me

微服务架构 微服务拆分 微服务冶理

MySQL的死锁系列- 锁的类型以及加锁原理

程序员历小冰

MySQL

说出来就不灵啦

伯薇

糊涂 活在当下 享受状态 生活状态 观察者

把成功过成自己的生活

子铭

成功学 生活状态

Arthas安装及基本用法

编程随想曲

Java

浅析 Cocoapods-Packager 实现

Edmond

ruby ios CocoaPods binary packager

Netty 源码解析(四): Netty 的 ChannelPipeline

猿灯塔

学习来应对创业的未知

Neco.W

创业 重新理解创业

神经网络的激活函数为什么要使用非线性函数

王坤祥

神经网络 激活函数

怎样算是一个好的开发者?

水滴

开发者

死磕Java并发编程(7):读写锁 ReentrantReadWriteLock 源码解析

七哥爱编程

Java并发 读写锁 ReentrantReadWriteLock

谷歌准备放弃存在9年的XSS检测工具-InfoQ