Di Tomasz Andrzej Nidecki, Acunetix Technical Content Writer – 23 Luglio 2019

 

 

Il 15 luglio Google ha annunciato che il modulo XSS Auditor che protegge gli utenti di Chrome dagli attacchi di cross-site scripting verrà abbandonato. Si è scoperto che era facile da aggirare, inefficiente e causava troppi falsi positivi. Un meccanismo simile era stato precedentemente utilizzato da Microsoft Edge (“filtro XSS”) e rimosso nel 2018 .

XSS Auditor è stato introdotto nel 2010. Funziona monitorando la comunicazione tra il browser Web e il server Web e cercando potenziali modelli XSS. Dal 2016, XSS Auditor bloccava completamente l’accesso alla pagina in caso di un potenziale attacco XSS. A causa di un gran numero di falsi positivi, il comportamento predefinito è stato recentemente modificato dal blocco totale al filtro del codice potenzialmente dannoso.

Diverse fonti suggeriscono che Google sta cercando di sostituire XSS Auditor lavorando sull’implementazione della Politica sulla sicurezza dei contenuti basata su tipi fidati . Questo meccanismo ha lo scopo di eliminare la maggior parte dei potenziali attacchi XSS DOM , ma non è pensato per proteggere contro altri tipi di attacchi XSS . Pertanto, i “tipi fidati” non possono essere visti come sostituti di XSS Auditor e non ci sarà sostituzione per il meccanismo di protezione lato client. Ciò aumenta l’importanza della protezione dagli attacchi XSS trovando le vulnerabilità il prima possibile.

Difettoso per design

Esistono due approcci di base per eliminare le vulnerabilità: correggerle o girarci attorno. Il primo approccio prevede la ricerca di errori nel codice dell’applicazione e la loro modifica. Il secondo significa avere un agente intermedio che blocca potenziali attacchi in base al rilevamento di pattern. XSS Auditor ha utilizzato il secondo metodo, che ancora una volta si è rivelato inefficace.

XSS Auditor in Chrome funziona in un modo molto simile a come funzionano i Web Application Firewall (WAF) : anche loro usano i pattern per eliminare potenziali attacchi. I WAF sono eccellenti per la protezione zero-day: possono aiutare a prevenire gli attacchi prima che una vulnerabilità sia riparata. Tuttavia, non devono essere utilizzati da soli e non possono essere percepiti come una soluzione a lungo termine alla sicurezza Web. L’unico modo certo per proteggersi dalle vulnerabilità è gestirle ed eliminarle il prima possibile nel ciclo di sviluppo del software . E per eliminarli, devi prima sapere che esistono – questo è lo scopo degli scanner di vulnerabilità del web di classe aziendale come Acunetix.