В Microsoft Edge «сломалась» одна из функций безопасности

MR_smoker

VIP
Dublikat Friends
Подтвержденный
Регистрация
31.01.17
Сообщения
2,437
Реакции
786
Депозит
777
Покупок
2
Telegram



Речь идет о защите от XSS-атак.
В браузере Microsoft Edge перестал работать XSS-фильтр - механизм безопасности, предотвращающий межсайтовое выполнение сценариев (XSS-атака) в браузерах. На проблемуобратил вниманиеспециалист компании PortSwigger Гарет Хэйес (Gareth Heyes).
Впервые данная функция появилась в Internet Explorer 8, а позже была реализована в Edge и других интернет-обозревателях, таких как Google Chrome и Apple Safari. Функционал также известен как X-XSS-Protection. Заголовок X-XSS-Protection предназначен для включения фильтра межсайтового скриптинга, встроенного во всех современных браузерах. При загрузке страницы, содержащей данный заголовок, браузер активирует параметры XSS-фильтра в зависимости от указанных значений X-XSS-Protection - "X-XSS-Protection: 0", "X-XSS-Protection: 1" или "X-XSS-Protection: 1; mode=block". В первом случае браузер отключает фильтр, во втором проверяет код страницы и устраняет элементы, специфические для XSS-атак, в третьем - блокирует отображение контента на странице при обнаружении признаков XSS-атаки.
В последние три года Edge по умолчанию проверял код любой загружаемой страницы вне зависимости от того, сконфигурирован заголовок X-XSS-Protection или нет. Однако несколько дней назад Хэйес обнаружил, что настройки XSS-фильтра не работают привычным образом. По его словам, теперь функция по умолчанию отключена. Даже при попытке активировать защиту с помощью "X-XSS-Protection: 1" она остается отключенной. Судя по тому, что в Internet Explorer XSS-фильтр работает как положено, речь может идти об ошибке, а не намеренных изменениях со стороны Microsoft. Более того, XSS-фильтр возможно включить, если в заголовке X-XSS-Protection указано значение "X-XSS-Protection: 1; mode=block", чего многие владельцы сайтов стараются избегать, поскольку в таком случае Edge перестает отображать сайты.
Специалист проинформировал Microsoft о проблеме, однако инженеры компании не предоставили пояснений по данному вопросу.
Межсайтовый скриптинг (Cross Site Scripting) — уязвимость, позволяющая злоумышленнику внедрить вредоносный код (обычно HTML или JavaScript) в содержимое сайта. Вредоносный код выполняется в браузере пользователя, который просматривает зараженную страницу сайта.
 

YandexPoisk

Проверенный продавец
Продавец
Подтвержденный
Регистрация
03.01.18
Сообщения
1,413
Реакции
239
Покупок
3
Продаж
11
Telegram
Думаю 1,5% от всех пользователей браузерами, а именно столько пользуются Edg'ом, не особо волнуются на счет своей безопасности. Они знали на что идут)
 
Автор
Автор
MR_smoker

MR_smoker

VIP
Dublikat Friends
Подтвержденный
Регистрация
31.01.17
Сообщения
2,437
Реакции
786
Депозит
777
Покупок
2
Telegram
Думаю 1,5% от всех пользователей браузерами, а именно столько пользуются Edg'ом, не особо волнуются на счет своей безопасности. Они знали на что идут)
Они наооброт не знали... не знают какое это го...
 

YandexPoisk

Проверенный продавец
Продавец
Подтвержденный
Регистрация
03.01.18
Сообщения
1,413
Реакции
239
Покупок
3
Продаж
11
Telegram
Сверху Снизу