Google har skapat en ny webbläsare API som kommer att hjälpa Chrome kamp vissa typer av cross-site scripting (XSS), lägga till en annan nivå av skydd i webbläsaren nivå för att hålla användarna säker från försök till dataintrång.
Den nya funktionen kallas Betrodda Typer och är en webbläsare API som Google har arbetat på under de senaste månaderna.
Företagets ingenjörer planerar att testa Betrodda Typer under 2018, mellan Chrome 73 och Chrome 76, innan du kastar ut och gör det som en permanent säkerhetsfunktion för alla Chrome-användare senare i år-om allt går som planerat.
Denna nya säkerhetsfunktion utvecklades med avsikt att skydda användarna mot en av de tre typerna av cross-site scripting brister –nämligen DOM-baserad (eller typ-0) XSS.
De andra två XSS-typer är “återspeglas” och “lagrat.” En detaljerad uppdelning av alla tre XSS-typer finns här, för läsare som vill lära sig mer om XSS.
I grund och botten, DOM-baserade XSS är ett säkerhetsproblem som finns i källkoden för en webbplats. Hackare utnyttja så kallad injektion punkter för att infoga kod i webbläsaren s DOM (sidans källkod) som utför oönskade skadliga verksamheter-som att stjäla cookies, manipulera innehållet på sidan, omdirigera användare, etc..
Betrodd Typer kommer att blockera sådana attacker genom att tillåta webbplatser som ägare för att låsa känd “injektion punkter” på en hemsida är en kod som ofta är orsaken av DOM-baserade XSS.
Webbplatsägare kan aktivera Chrome Betrodda Typer kommande skydd genom att ställa in ett visst värde i Content Security Policy (CSP) HTTP svar header.
En gång aktiverat, tillgång till DOM injektion punkter kommer att vara bundna av Chromes inbyggda Betrodda Typer API, blockera attacker innan XSS-attack-kod kan utnyttja DOM (sidans källkod) för att attackera användare.
En tutorial på hur webbplatsägare kan aktivera Betrodda Typer via CSP rubriker, och hur användare kan konfigurera Chrome för att använda tidiga versioner av Trusted Typer API är tillgängliga på Googles Utvecklare blogg.
I samma handledning, Krzysztof Kotowicz, en Programvara Ingenjör i Information Security Engineering team på Google, var så säkra Betrodd Typer API: s framgång var att han hävdade att den nya funktionen skulle “hjälpa till att utplåna DOM-XSS.”
Mer information om Betrodda Typer API finns tillgänglig i Webb-Plattform Inkubator Community Grupp (WICG) officiella specifikation.
Betrodd Typer kommer att Chrome andra XSS skydd har efter XSS-Revisor, som Google levereras med Chrome 4 sätt tillbaka under 2010.
Enligt en Imperva rapport som publicerades förra månaden, XSS sårbarheter som var den vanligaste form av webb-baserade attacker 2014, 2015, 2016 och 2017. Det var den näst vanligaste formen av web-baserade attacker förra året, enda som saknas på den översta positionen på grund av en ovanligt pigg i SQL injektion attacker.
XSS-sårbarheter är ofta bagatelliseras av företag och experter på säkerhet, eftersom de inte alltid leder till direkt skada för användare att komma åt en webbplats. De är dock ofta det första steget i komplexa utnyttja rutiner, underlätta för fler att skada hacka. Eliminera XSS-attacker skulle i många fall hålla användare säker från mer komplexa attacker som inte vore möjligt utan ett första fotfäste som tillhandahålls av XSS.
Till exempel, den här veckan, Bootstrap, ett ramverk som används av någonstans mellan 15 och 20 procent av alla internet-webbplatser påverkades av en DOM-baserade XSS. Det är en enorm attack yta för eventuella angripare idag.
Mer webbläsare täckning:
Safari ingenjörer titta på olika angreppssätt för att bekämpa påträngande annonser
Google Chrome 73 till officiellt stöd för multimedia tangenter på tangentbordet
Google publicerar 14 officiella Chrome themesGoogle kör en automatisk uppdatering-att-HTTPS experiment i ChromeOpera datorns webbläsare får ett nytt utseende, mörkt tema blir darkerFirefox att blockera auto-starta uppspelning av audio-Mars 2019What företag behöver veta om den nya Krom-baserad Edge TechRepublicAd-blockerande Modig får minne fördel jämfört med Chrome på nyheter webbplatser CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter