Google избавится от встроенной в Chrome функции безопасности XSS Auditor

1

XSS Auditor стала неэффективной для защиты от XSS-атак.

Инженеры Google планируют убрать одну из встроенных в Chrome функций безопасности. По словам разработчика Chrome Томаса Сепеза (Thomas Sepez), известная под названием XSS Auditor функция больше не соответствует требованиям современной системы защиты.

XSS Auditor была добавлена в Chrome еще в 2010 году с релизом Chrome v4. Как следует из названия, функция защиты сканирует исходный код web-сайта на наличие паттернов, указывающих на XSS-атаку, способную запустить вредоносный код в браузере пользователя. В случае обнаружения подобной атаки, Chrome может удалить вредоносный код или заблокировать загрузку сайта, выдавая соответствующее уведомление.

В течение многих лет XSS Auditor являлась уникальной функцией в браузерной среде, помогая Chrome выделяться на фоне остальных браузеров. С момента запуска XSS Auditor аналогичный функционал начали реализовывать разработчики других браузеров при помощи расширений, например, NoScript уже несколько лет поддерживает механизм защиты от XSS-атак.

Существует несколько причин, по которым разработчики Google решили избавиться от XSS Auditor. В качестве первой и основной указываются многочисленные способы обхода XSS Auditor. Помимо этого, все попытки исправить данную уязвимость делают более уязвимым и сам Chrome. Существует также проблема с ложным срабатыванием, когда XSS Auditor блокировала доступ к официальным сайтам. В этой связи, с релизом Chrome 74 эксперты Google переключили режим “блокировать”, установленный по умолчанию в XSS Auditor, на “фильтровать”. То есть, с апреля 2019 года функция безопасности не блокирует доступ к содержащим XSS-код сайтам, а удаляет код, пытаясь сократить количество ложных срабатываний.

Работа над устаревшей XSS Auditor началась еще в октябре 2018 года. Инженеры Google пока не указали, в каком релизе функция безопасности будет отключена и удалена из кодовой базы Chrome.