Chrome: XSS Auditor è stato deprecato

Il team di Google sta rimuovendo da Chrome la funzionalità chiamata XSS Auditor. Si tratta di uno strumento, introdotto nel 2010, pensato per rilevare le vulnerabilità di cross-site scripting.

Le vulnerabilità XSS colpiscono i siti web dinamici che non inseriscono dei controlli sull'input immessi nei form. Un attaccante può dunque sfruttare un XSS per inserire ed eseguire del codice malevolo lato client, in modo tale da poter attuare un vasto ventaglio di operazioni come ad esempio la raccolta dei dati, la manipolazione dei file inviati o il reindirizzamento verso link malevoli.

XSS Auditor era incaricato di rilevare le vulnerabilità XSS mentre Chrome eseguiva il parsing HTML. Per effettuare tale controllo veniva sfrutta una blocklist con cui identificare i caratteri o i tag HTML sospetti.

Tuttavia XSS Auditor non è mai stato capace di rilevare tutte le vulnerabilità XSS presenti in un sito web. Inoltre con gli anni le vulnerabilità capaci di bypassare i controlli di Chrome sono aumentate notevolmente.

A sottolineare tali problematiche, nell'ottobre del 2018, è stato Eduardo Vela Nava, Google senior security engineer, sulla mailing list ufficiale di Chromium:

Non abbiamo la sicurezza che XSSAuditor riesca a fermare il codice XSS. Inoltre stiamo riscontrando difficoltà nello spiegare ai vari sviluppatori indipendenti come implementare XSSAuditor su larga scala.

Il 15 luglio Thomas Sepez, Google security engineer, ha comunicato alla community la dismissione in modo definitivo di XSS Auditor:

I bypass abbondano, inoltre [XSS Auditor] impedisce il funzionamento di alcuni siti leciti. Ripararlo si è rilevato molto difficile. Dunque sarà deprecato da tutte le piattaforme."

XSS Auditor dovrebbe essere sostituto da una API chiamata Trusted Types, che andrà a trattare tutti gli input dell'utente come "non affidabili", costringendo gli sviluppatori dei siti web ad introdurre delle contromisure contro le vulnerabilità XSS.

Via Sophos