Google har lavet en ny browser API, der vil hjælpe Chrome bekæmpelse af visse former for cross-site scripting (XSS) sårbarheder, hvilket tilføjer endnu et niveau af beskyttelse på browser-niveau til at holde brugere sikkert fra forsøg på hacking.
Denne nye funktion kaldes Tillid Typer og er en browser API, som Google har arbejdet på de seneste måneder.
Selskabets ingeniører planlægger at teste Tillid Typer i hele 2018, mellem Chrome 73 og Chrome 76, før der kastes ud og sætte det som et permanent security-funktion for alle Chrome-brugere senere i år-hvis alt går som planlagt.
Denne nye sikkerhedsfunktion, der var udviklet med den hensigt at beskytte brugerne mod en af de tre former for cross-site scripting fejl –nemlig DOM-baserede (eller type-0) XSS.
De andre to XSS-typer er “afspejles”, og “gemt.” En detaljeret oversigt over alle tre XSS-typer er tilgængelige her, for læsere der ønsker at lære mere om XSS.
Dybest set, DOM-baseret XSS er en sikkerhedssvaghed, der findes i kildekoden på en hjemmeside. Hackere udnytte såkaldte injektion punkter til at indsætte kode i browseren ‘ s DOM (sidens kildekode), som udfører uønskede skadelige handlinger-som at stjæle cookies, manipulere sidens indhold, omdirigere brugere, osv..
Tillid Typer vil blokere for sådanne angreb ved at tillade, at websteder ejere til at låse kendt “injektion punkter” i en hjemmesides kode, der er ofte årsagen til DOM-baseret XSS.
Hjemmeside-ejere kan aktiverer Chromes Tillid Typer kommende beskyttelse ved at fastsætte en bestemt værdi i Content Security Policy (CSP) HTTP response header.
Når det er aktiveret, adgang til DOM injektion punkter vil være begrænset af, at Chrome ‘ s indbyggede Tillid Typer API, blokerer for angreb, før de XSS exploit-kode kan udnytte DOM (sidens kildekode) til at angribe brugere.
En tutorial om hvordan hjemmesiden kan ejere af Trusted Typer via CSP overskrifter, og hvordan brugere kan konfigurere Chrome til at bruge tidligere versioner af Trusted Typer API er tilgængelig på Google Udviklere blog.
I den samme tutorial, Krzysztof Kotowicz, en Software-Ingeniør i Information Security Engineering team på Google, var så sikker på at det er Tillid Typer API ‘ s succes, at han hævdede, at denne nye funktion vil “hjælpe med at udslette DOM XSS.”
Mere info om de Betroede Typer API ‘ er til rådighed i Web-Platform Inkubator Community Group (WICG) officielle specifikation.
Tillid Typer vil blive Chrome ‘ s andet XSS beskyttelse funktion, når XSS Revisor, som Google fulgte med Chrome 4 tilbage i 2010.
Ifølge en Imperva rapport, der blev offentliggjort i sidste måned, XSS sårbarheder, var den mest udbredte form for web-baserede angreb i 2014, 2015, 2016 og 2017. Det var den anden mest almindelige form for web-baserede angreb sidste år, kun mangler på den øverste position på grund af en usædvanlig stigning i SQL-injection angreb.
XSS sårbarheder er ofte bagatelliseres af virksomheder og sikkerheds-eksperter, fordi de ikke altid føre til direkte skade for brugerne at få adgang til et websted. De er dog ofte den første trædesten i komplekse udnytte rutiner, fremme mere skadeligt hacks. Fjerne XSS-angreb, ville det i mange tilfælde holde brugere sikkert fra mere komplekse angreb, som ikke ville være muligt uden en indledende fodfæste fastsat af XSS.
For eksempel, i denne uge, Bootstrap, en UI framework, der bruges ved et eller andet sted mellem 15 og 20 procent af alle websteder på internettet var påvirket af en DOM-baseret XSS. Det er en enorm angreb overflade for enhver angriber i dag.
Mere browser dækning:
Safari ingeniører se på forskellige tilgang til bekæmpelse af påtrængende annoncer
Google Chrome 73 officielt understøtter mms-tasterne på dit tastatur
Google udgiver 14 officielle Chrome themesGoogle er at køre en auto-opdatering-til-HTTPS eksperiment i ChromeOpera desktop browseren får et nyt udseende, mørkt tema bliver darkerFirefox til at blokere auto-afspilning af lyd-start Marts 2019What virksomheder har brug for at vide om den nye Chrom-baseret Kant TechRepublicAd-blokering Modige får hukommelse fordel i forhold til Chrome på nyheder hjemmesider CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre