Google ha creato un nuovo browser API che aiuterà Chrome combattere alcuni tipi di cross-site scripting (XSS) vulnerabilità, aggiungendo un ulteriore livello di protezione del browser livello per mantenere gli utenti al sicuro da tentativi di hacking.
Questa nuova funzionalità si chiama Fiducia Tipi e di un browser API che Google ha lavorato negli ultimi mesi.
I tecnici e gli ingegneri del piano di test Attendibili tipo in tutto il 2018, tra Chrome 73 e Chrome 76, prima di stendere e abilitazione come una permanente funzione di sicurezza per tutti gli utenti di Chrome, più avanti nell’anno, se tutto va come previsto.
Questa nuova funzionalità di sicurezza è stato sviluppato con l’intento di proteggere gli utenti contro uno dei tre tipi di cross-site scripting difetti, vale a dire basato su DOM (o type-0) XSS.
Gli altri due XSS sono di tipo “riflesso” e “archiviato.” Un resoconto dettagliato di tutte e tre le XSS tipi è disponibile qui, per i lettori che desiderano saperne di più su XSS.
Fondamentalmente, basato su DOM XSS è una vulnerabilità di sicurezza che si trova nel codice sorgente di un sito web. Gli hacker di sfruttare i cosiddetti punti di iniezione di inserire nel codice il DOM del browser (il codice sorgente della pagina) che esegue indesiderati operazioni dannose, come rubare i cookie, la manipolazione del contenuto della pagina, reindirizzando gli utenti, ecc..
Di fiducia Tipi di bloccare questi attacchi consentendo i proprietari di siti web da bloccare il noto “punti di iniezione” in un sito web codice, che spesso sono la causa principale di DOM-based XSS.
Proprietari di siti web possono consentire di Chrome Fiducia Tipi di imminente protezione mediante l’impostazione di un certo valore nel Content Security Policy (CSP) intestazione di risposta HTTP.
Una volta attivata, l’accesso al DOM punti di iniezione saranno limitati da Chrome built-in di Fiducia Tipi di API, bloccando eventuali attacchi prima dell’XSS codice di exploit, puoi sfruttare la DOM (codice sorgente della pagina) per attaccare gli utenti.
Un tutorial su come proprietari di siti web possono consentire di Fiducia Tipi di via CSP intestazioni, e come gli utenti possono configurare Chrome per utilizzare le prime versioni di Fiducia Tipi di API è disponibile su Google Developers blog.
Nello stesso tutorial, Krzysztof Kotowicz, un Ingegnere del Software per la Sicurezza informatica il team di Ingegneria di Google, era così sicuro della Fiducia Tipi di API di successo che ha sostenuto questa nuova funzionalità “aiuti cancellare DOM XSS”.
Ulteriori informazioni Attendibili Tipi di API è disponibile nella Piattaforma Web Incubatore di gruppi di Comunità (WICG) specifica ufficiale.
Di fiducia Tipi di Chrome seconda XSS funzione di protezione dopo XSS Sindaco, che Google fornito con Chrome 4 il via nel 2010.
Secondo un Imperva rapporto pubblicato il mese scorso, vulnerabilità XSS sono la forma più diffusa di attacchi basati su web nel 2014, 2015, 2016 e 2017. Era la seconda più comune forma di attacchi basati su web lo scorso anno, manca solo la prima posizione a causa di un raro picco di attacchi di SQL injection.
Vulnerabilità XSS sono spesso sottovalutato dalle aziende e gli esperti di sicurezza in quanto non sempre portano ad un danno diretto per gli utenti di accedere a un sito. Tuttavia, essi sono spesso il primo passo nel complesso sfruttare routine, facilitando il più dannoso hack. Eliminando gli attacchi XSS in molti casi sarebbe di tenere gli utenti al sicuro da ulteriori attacchi complessi che non sarebbe possibile senza un iniziale appoggio fornito da XSS.
Per esempio, questa settimana, Bootstrap, un framework di interfaccia utente utilizzato da qualche parte tra il 15 e il 20 per cento di tutti i siti internet è stata influenzata dalla DOM-based XSS. Una grande superficie di attacco per qualsiasi malintenzionato di oggi.
Più browser copertura:
Safari ingegneri sguardo diverso approccio per combattere invadenti annunci
Google Chrome 73 supporta ufficialmente i tasti multimediali della tastiera
Google pubblica il 14 ufficiale di Chrome themesGoogle esegue un auto-update-per-HTTPS esperimento in ChromeOpera browser desktop ottiene un nuovo look, tema scuro ottiene darkerFirefox per bloccare l’auto-riproduzione audio a partire da Marzo 2019What le imprese hanno bisogno di conoscere il nuovo Cromo-based Bordo TechRepublicdi blocco degli Annunci Coraggioso ottiene memoria vantaggio su Chrome su siti web di notizie CNET
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati