Cautare


Google lucreaza la o noua functie de securitate Chrome pentru a elimina DOM XSS
18 Februarie 2019 Software

Google lucreaza la o noua functie de securitate Chrome pentru a elimina DOM XSS

Google a creat un nou API browser care va ajuta Chrome sa lupte cu anumite tipuri de vulnerabilitati cross-site scripting (XSS), adaugand un alt nivel de protectie la nivel de browser pentru a pastra utilizatorii in siguranta in fata incercarilor de hacking.

Aceasta noua caracteristica se numeste Trusted Types si este un API browser la care Google a lucrat in ultimele luni. 

Inginerii companiei intentioneaza sa testeze Trusted Types intre Chrome 73 si Chrome 76 inainte de lansare si sa o activeze ca o caracteristica permanenta de securitatge pentru toti utilizatorii Chrome in cursul anului, daca totul merge conform planificarii. 

Aceasta noua caracteristica de securitate a fost dezvoltata cu intentia de a proteja utilizatorii impotriva unuia dintre cele trei tipuri de defectiuni cross-site scripting - DOM-based (sau type-0) XSS. 
Celelalte doua tipuri de XSS sunt "reflectate" si "stocate". 

Practic, DOM-based XSS este o vulnerabilitate de securitate care se gaseste in codul sursa al unui website. Hackerii folosesc asa-zisele puncte de injectare pentru a introduce cod in DOM-ul browserului (codul sursa al paginii) care executa operatiuni rau-intentionate nedorite - cum ar fi furtul de cookie-uri, manipularea continutului paginii, redirectionarea utilizatorilor s.a.

Trusted Types va bloca astfel de atacuri, permitand proprietarilor de site-uri sa blocheze "punctele de injectare" cunoscute din codul website-ului care sunt de multe ori cauza principala a DOM-based XSS. 

Proprietarii de site-uri pot activa viitoarea protectie Chrome Trusted Typpes prin setarea unei anumitre valori in Content Security Policy (CSP) HTTP response header. 

Odata activata, accesul la punctele de injectie DOM va fi restrictionat de API-ul Trusted Types incorporat, blocand orice atac inainte ca codul de exploatare XSS sa poata folosi DOM (codul sursa al paginii) pentru a ataca utilizatorii. 

Un ghid privind modul in care proprietarii de site-uri pot activa Trusted Types prin intermediul antetelor CSP si despre modul in care utilizatorii pot configura Chrome pentru a folosi versiuni anterioare ale API-ului Trusted Types este disponibil pe blog-ul Google Developers. 

Mai multe informatii despre API-urile Trusted Types sunt disponibile in specificatiile oficiale ale Web Platform Incubator Community Group (WICG).

Trusted Types va fi cea de-a doua functie de protectie XSS a Chrome, dupa XSS Auditor, lansat impreuna cu Chrome 4 in 2010. 

Potrivit unui raport al companiei Imperva publicat luna trecuta, vulnerabilitatile XSS au reprezentat cea mai raspandita forma de atacuri web-based din 2014, 2015, 2016 si 2017. Au reprezentat a doua cea mai comuna forma de atac web-based anul trecut. 

Vulnerabilitatile XSS sunt minimalizate adesea ca importanta de companii si de expertii in securitate, deoarece nu conduc intotdeauna la daune directe pentru utilizatorii caree acceseaza un site. Cu toate acestea, ele sunt adesea piatra de temelie in rutine complexe de exploatare, facilitand hack-uri mai daunatoare. Eliminarea atacurilor XSS ar duce, in multe cazuri, la mentinerea utilizatorilor in siguranta impotriva atacurilor mai complexe care nu ar fi posibile fara un punct de pornire oferit de XSS.

Spre exemplu, saptamana trecuta Bootstrap, un framework UI folosit de 15-20% din totalul site-urilor internet, a fost afectat de un DOM-based XSS. Aceasta este o suprafata uriasa de atac pentru orice atacator din ziua de azi.



Info util

Numai 5 producatori de solutii antivirus, inclusiv ESET, au indeplinit criteriile de detectie si dezinfectare solicitate pentru Windows 7.



Newsletter


Adresa mea de email:
Parteneri

Despre noi

Download

Contact

Strada Retezatului nr.5 / Tg.Mures 540 068
tel/fax:0265 265 910 / contact@smartnews.ro

Publicitate