Nuovi divieti e regole per shady estensione di google Chrome pratiche
Google crepe giù su di commercializzazione ingannevoli e le estensioni ombrosi di descrizioni. Leggi di più: https://zd.net/2MIQ1k9
I tecnici di Google intende rimuovere un Cromo funzionalità di protezione che non ha vissuto fino a pari con le protezioni con doveva fornire per anni.
Nome XSS Sindaco, la funzionalità è stata aggiunta a Chrome nel 2010, con il rilascio di Google Chrome v4.
Come suggerisce il nome, XSS Revisore esegue la scansione di un sito web il codice sorgente per i motivi che l’aspetto di un cross-site scripting (XSS) attacco tenta di eseguire codice dannoso nel browser dell’utente.
Se un noto XSS modello è trovato, Chrome potrebbe rimuovere il codice dannoso, o può bloccare il sito da caricamento, mostrando un errore come quello riportato di seguito.
Per anni, XSS Sindaco è stato una caratteristica unica sul browser del paesaggio, e ha contribuito a Chrome si distinguono da altri browser, essendo l’unica che ha caratterizzato built-in di protezione XSS.
Dal suo lancio, la funzionalità è stata replicata in altri browser, con l’aiuto di add-ons, con il più famoso è l’estensione NoScript, che ha caratterizzato un XSS meccanismo di protezione per anni.
XSS Sindaco ora è pieno di buchi
Ma questo lunedì, 15 luglio, i tecnici di Google hanno annunciato i piani per deprecare e rimuovere XSS Sindaco di Chrome.
Ingegneri citato diverse ragioni per rimuovere la funzionalità. Il primo citato è stata numerose XSS Sindaco ignora che sono stati scoperti negli ultimi paio di anni.
Mentre dopo il suo lancio XSS Sindaco è stata una buona reputazione, è ora una battuta, con i cacciatori di bug scherzando che non sei veramente un ricercatori di sicurezza fino a trovare un XSS Sindaco di bypass. In soli due minuti, ZDNet trovato dieci XSS Sindaco ignora con niente di più che una ricerca su Google [1, 2, 3, 4, 5, 6, 7, 8, 9, 10], e molti di più sono stati lasciati in attesa.
Inoltre, l’applicazione di patch tutte le XSS Sindaco ignora ha messo fori in Chrome. In Google Gruppi discussione annunciando XSS Revisore deprecazione, Chrome ingegnere Thomas Sepez detto che XSS Sindaco ha introdotto molti “cross-site info perdite”, e che “fissare tutte le info perdite ha dimostrato difficile.”
E c’è anche il problema dei falsi positivi; i casi in cui XSS Sindaco ha bloccato l’accesso a siti web legittimi base erronous rilevamenti.
Questo è il motivo per cui con il rilascio di Chrome 74, Google acceso di default XSS Revisore modalità “blocco” a “filtro”, il che significa che dal mese di aprile, XSS Sindaco non ha ancora bloccando l’accesso a siti web contenenti codice XSS, ma piuttosto la rimozione del codice, nel tentativo di ridurre il numero di falsi positivi rapporti che i suoi tecnici avevano ricevuto.
Per essere sostituita dalla Fiducia Tipi di API
Lavoro su disprezzando i XSS Sindaco componente iniziato lo scorso anno, nel mese di ottobre. Google non ha specificato in che cosa Chrome versione XSS Revisore disabili, e, infine, togliere dal Chrome codebase.
La buona notizia è che Google ha già iniziato a lavorare su una sostituzione. Nel mese di febbraio, Google ha annunciato che i suoi ingegneri hanno sviluppato la Fiducia Tipi di browser API, una nuova difesa contro basato su DOM attacchi XSS, che hanno affermato che sarebbe “cancellare DOM XSS”.
A differenza di XSS Sindaco, che è stato un Chrome componente, il nuovo Attendibili Tipi di API è uno standard web, e potrebbe, in teoria, essere incluso con gli altri browser come bene.
Secondo un Imperva rapporto pubblicato nel mese di gennaio, vulnerabilità XSS sono la forma più diffusa di attacchi basati su web nel 2014, 2015, 2016 e 2017. Essi sono la seconda più comune forma di attacchi basati su web lo scorso anno, manca solo la prima posizione a causa di un raro picco di attacchi di SQL injection.
Vulnerabilità XSS sono spesso sottovalutato dalle aziende e gli esperti di sicurezza in quanto non sempre portano ad un danno diretto per gli utenti di accedere a un sito. Tuttavia, essi sono spesso il primo passo nel complesso sfruttare routine, facilitando il più dannoso hack. Eliminando gli attacchi XSS in molti casi sarebbe di tenere gli utenti al sicuro da ulteriori attacchi complessi che non sarebbe possibile senza un iniziale appoggio fornito da XSS.
Più browser copertura:
Come abilitare il DNS su HTTPS (DoH) in Firefox
Pale Moon dice hacker aggiunto malware per le versioni precedenti del browser
Microsoft fornisce ai professionisti IT il segnale per iniziare a testare Cromo-based EdgeMozilla: No piani per abilitare il DNS su HTTPS di default nella UKMozilla è il finanziamento di un modo per sostenere la Julia in FirefoxMozilla divieti di sorveglianza venditore da Firefox certificato whitelistHow per utilizzare Tor browser su un dispositivo Android TechRepublicCoraggioso privacy-primo browser annunci di arrivare con la promessa di vincita per CNET
Argomenti Correlati:
Enterprise Software
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati