24 jul. 2018

¿X-XSS-Protection desaparecerá de los navegadores?

El encabezado de respuesta HTTP X-XSS-Protection es una característica de Internet Explorer, Chrome y Safari (Firefox no la reconoce) que impide que las páginas se carguen cuando detectan ataques reflejados de Cross-site Scripting (XSS).

Investigadores de la firma de seguridad PortSwigger han estado analizando la seguridad X-XSS-Protection en Edge. Microsoft desarrolló esta medida de seguridad en 2008 para Internet Explorer, y desde entonces ha llegado a otros navegadores, como Chrome y Safari, así como a Edge cuando Microsoft lo lanzó en Windows 10.
A grandes rasgos, esta medida de seguridad permite a los desarrolladores introducir un encabezado en las páginas de manera que sean estos quienes puedan configurar el funcionamiento de este filtro XSS, encabezado que, según su valor, actuará de una forma u otra:
  • X-XSS-Protection: 0 (deshabilita la protección).
  • X-XSS-Protection: 1 (limpia el código y elimina los patrones utilizados en ataques XSS).
  • X-XSS-Protection: 1; mode=block (bloquea cualquier contenido si se detectan patrones XSS).
Microsoft configuró Edge por defecto para que siempre funcionara con el segundo modo (desinfectar el código cuando se sospeche de posibles ataques), ignorando las cabeceras que pudiera haber en cualquier página web, y esta medida de seguridad ha estado funcionando sin problemas, hasta hace poco.

Aunque este filtro está activado en Edge por defecto, en realidad este no está funcionando como es debido, porque, tal como ha demostrado este investigador, el navegador no analiza ni filtra el código XSS oculto en una página web, ni siquiera aunque se introduzca a la fuerza la cabecera "X-XSS-Protection: 1".

No se sabe por qué ocurre esto, ni si se trata de un error en el navegador de Microsoft o es algo que la compañía ha hecho a propósito. Lo que sí se sabe es que en Internet Explorer esta medida de seguridad sí que está activada y funciona correctamente. Además, si activamos el filtro más agresivo en la propia cabecera o en la configuración, "X-XSS-Protection: 1; mode=block", este sí funciona correctamente, pero solo ese, y la verdad es que, con él, muchas webs no funcionan correctamente.

De todas formas, hasta los propios desarrolladores de Microsoft aseguran que el filtro XSS, a día de hoy, no es tan crítico como antes, ya que el propio sistema operativo es capaz de detectar y bloquear estos ataques informáticos. Puede que Microsoft haya recapacitado y que, igual que Mozilla con Firefox, empiece a pasar un poco de esta medida de seguridad de su navegador.

Hace cuatro meses, el desarrollador de Mozilla, Frederik Braun, confirmó una vez más que la organización no haría una función anti-XSS para Firefox. "Hubo numerosas discusiones ... y llegamos a la conclusión de que actualmente no vale la pena el esfuerzo de Firefox para proporcionar una función integrada", afirmó Braun.

La documentación técnica de Mozilla establece que "estas protecciones son en gran medida innecesarias en los navegadores modernos cuando los sitios implementan una sólida Política de Seguridad de Contenidos (CSP) que desactiva el JavaScript en línea".

Al desactivar su Filtro XSS de forma predeterminada, ¿marca esto un cambio de dirección para Microsoft? ¿O es un error que impide que la característica funcione?

Fuente: RedesZone

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!