it-swarm.com.de

Was war der wahre Grund, die Reflected-Xss-Direktive aus CSP zu streichen?

Es gab zwei Antwortheader, die von Servern festgelegt werden konnten, um Browser anzuweisen, in der Vergangenheit heuristikbasierte reflektierte XSS-Erkennung und -Vorbeugung zu ermöglichen.

  1. X-XSS-Schutz: 1; mode = block
  2. Inhaltssicherheitsrichtlinie: Reflected-xss

X-XSS-Schutz

Dieser Header laut MDN ;

Inhaltssicherheitsrichtlinie

Der CSP 2.0 oder 3.0 spezifiziert eine Direktive Reflected-Xss. Es war in den Entwürfen von CSP 2.0 und die meisten modernen Browser unterstützen es nicht ( Chrome ) oder haben keine Erwähnung der Richtlinie.

  1. Ist es eine faire Annahme, dass moderne Browser keinen heuristikbasierten XSS-Schutz haben, der von einem Server-Header gesteuert werden könnte?
  2. Gibt es andere XSS-Schutzheader, die weit verbreitet sind?
5
hax

Ich denke, der von Ihnen bereitgestellte Mozilla-Link enthält genug Informationen, um Ihre Frage zu beantworten (Zitate aus dem Thread, damit ich eine bessere Geschichte erzählen kann) ::

Firefox könnte mit einem (wahrscheinlich teureren) Algorithmus wie dem hier beschriebenen besser abschneiden ( http://seclab.cs.sunysb.edu/seclab/pubs/ndss09.pdf ). Durch das Einfügen in die Skriptausführung anstelle des HTTP-Datenverkehrs (wie in diesem Dokument beschrieben) werden kleinere Zeichenfolgen gefunden, die bei diesem Algorithmus wahrscheinlich keine große Verlangsamung verursachen.

Dieser heuristische XSS-Schutzalgorithmus basiert also auf einem Stapel von Zeichenfolgen, die zwischen der URL und dem Seiteninhalt verglichen werden, und wird daher von Personen missbilligt, die den CPU-Fußabdruck des Browsers gering halten möchten.


Während wir darauf warten, dass Browser und Websites CSP übernehmen, könnte ein Schutz vor reflektierten XSS-Angriffen eine nützliche Ergänzung zu Mozilla sein. Tatsächlich könnte es als Standard-CSP für Websites implementiert werden, die keinen CSP bereitstellen.

Dies impliziert, dass eine generische Heuristik, die im Browser ausgeführt wird, weniger effektiv ist als die Entwickler einer bestimmten Website, die einen ordnungsgemäß implementierten CSP bereitstellt, der angibt, welche Inhalte auf ihrer Seite ausgeführt werden dürfen.


Es gab zahlreiche Diskussionen, die letzte Ende 2016, und wir waren zu dem Schluss gekommen, dass es sich für Firefox derzeit nicht lohnt, eine integrierte Funktion bereitzustellen:

Ein XSS-Filter kann nicht vor gespeichertem (auch bekannt als persistentem) XSS oder DOM XSS schützen, was in letzter Zeit immer häufiger vorkommt.

Ein XSS-Filter ist anfällig für Sicherheitslücken, wenn er nicht sehr sorgfältig und aktiv gewartet wird. Es ist schwierig, die Zeit für die Sicherheitsentwicklung für eine Funktion zu rechtfertigen, die nur einen begrenzten Wert bietet.

Schließlich gibt es in NoScript einen XSS-Filter, den Benutzer verwenden können.

Dieser spricht für sich, dass der XSS-Filter letztendlich nicht so effektiv ist.

7
Mike Ounsworth