Google heeft een nieuwe browser-API die u zullen helpen Chrome bestrijding van bepaalde vormen van cross-site scripting (XSS) kwetsbaarheden, het toevoegen van een ander niveau van bescherming in de browser peil te houden gebruikers veilig van hack pogingen.
Deze nieuwe functie is de zogenaamde Vertrouwde Soorten en is een browser-API die Google heeft gewerkt voor de afgelopen maanden.
Het bedrijf van de ingenieurs van plan om te testen Vertrouwde Soorten in 2018, tussen Chrome 73 en Chrome 76, alvorens uit te rollen en het inschakelen van een vaste beveiligingsfunctie voor alle Chrome-gebruikers later in het jaar –als alles gaat zoals gepland.
Deze nieuwe beveiligingsfunctie werd ontwikkeld met de bedoeling om gebruikers te beschermen tegen een van de drie vormen van cross-site scripting gebreken –namelijk DOM-based (of type-0) XSS.
De andere twee XSS types zijn “gespiegeld” en “opgeslagen.” Een gedetailleerd overzicht van alle drie XSS soorten is hier beschikbaar, voor de lezers op zoek om meer te leren over XSS.
Kortom, DOM-based XSS is een beveiligingsprobleem dat zich in de broncode van een website. Hackers leverage zogenaamde injectie punten code in te voeren in de browser op de DOM (de broncode van een pagina) die wordt uitgevoerd ongewenste schadelijke activiteiten, zoals het stelen van cookies, manipuleren van de inhoud van de pagina, het omleiden van gebruikers, etc..
Vertrouwde Soorten blokkeren van dergelijke aanvallen door het toestaan van websites eigenaren om te vergrendelen bekend injectie om de punten” in een website code dat zijn vaak de oorzaak van DOM-based XSS.
Website-eigenaren kunnen van Chrome inschakelt Vertrouwde Soorten komende bescherming door het instellen van een bepaalde waarde in de Content Security Policy (CSP) HTTP response header.
Zodra het aangezet is, is de toegang tot DOM injectie punten worden beperkt door Chrome is gebouwd in Vertrouwde Soorten API, het blokkeren van aanvallen voordat de XSS exploit code kunnen gebruik maken van de DOM (pagina ‘ s source code) aanval gebruikers.
Een tutorial over hoe je een website-eigenaren kunnen inschakelen Vertrouwde Soorten via CSP koppen, en hoe de gebruikers configureren Chrome te gebruiken vroege versies van de Vertrouwde Soorten API is beschikbaar op het Google Developers-blog.
In dezelfde tutorial, Krzysztof Kotowicz, een Software Engineer in de Information Security Engineering team van Google, was zo overtuigd van de Vertrouwde Soorten API ‘ s succes, dat hij beweerde deze nieuwe functie zou “helpen vernietigen DOM XSS.”
Meer info op de Vertrouwde Soorten API is beschikbaar in de Web Platform Incubator Groep (WICG) officiële specificatie.
Vertrouwde Types Chrome de tweede XSS bescherming functie na XSS Auditor, die van Google wordt geleverd met Chromen 4-weg-terug in 2010.
Volgens een Imperva gepubliceerd rapport van vorige maand, XSS kwetsbaarheden waren de meest voorkomende vorm van web-based aanslagen in 2014, 2015, 2016 en 2017. Het was de tweede meest voorkomende vorm van web-based aanslagen vorig jaar, alleen ontbreekt op de bovenste positie als gevolg van een ongewoon piek in de SQL-injectie aanvallen.
XSS kwetsbaarheden worden vaak gebagatelliseerd door bedrijven en security experts, omdat ze niet altijd leiden tot directe schade aan gebruikers voor toegang tot een site. Echter, zij zijn vaak de eerste opstapje in het complex exploiteren routines, het faciliteren van meer schadelijke hacks. Het elimineren van XSS-aanvallen zou in veel gevallen houden de gebruikers veilig van meer complexe aanvallen, dat zou niet mogelijk zijn zonder een eerste voet aan de grond geleverd door XSS.
Bijvoorbeeld, deze week, Bootstrap, UI framework gebruikt door ergens tussen de 15 en 20 procent van alle internet sites werd beïnvloed door een DOM-based XSS. Dat is een enorme aanval oppervlak voor een aanvaller van vandaag.
Meer browser dekking:
Safari ingenieurs kijken naar de verschillende aanpak van de strijd tegen opdringerige advertenties
Google Chrome 73 officieel ondersteuning van de multimedia-toetsen op uw toetsenbord
Google publiceert 14 officiële Chrome themesGoogle met een auto-update-naar-HTTPS experiment in ChromeOpera desktop browser krijgt een nieuwe look, donkere thema krijgt darkerFirefox te blokkeren automatisch afspelen van audio vanaf Maart 2019What ondernemingen moet weten over het nieuwe Chroom-gebaseerd Rand TechRepublicAd-blocking Dappere krijgt geheugen voordeel ten opzichte van Chrome op nieuws websites CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters