Google Chrome protegge da cross site scripting (XSS)?

13

In Firefox ho utilizzato l'estensione NoScript per proteggermi da determinati tipi di attacchi malware. NoScript è ben noto come un'estensione molto potente per Firefox e ha introdotto la protezione dagli attacchi XSS e clickjacking fin dal '07.

Stavo cercando una protezione simile in Chrome, ma il migliore che ho trovato era ScriptNo che non menziona in modo specifico un tale tipo di protezione (si cita solo XML Cross-Domain).

Google Chrome protegge da Cross Site Scripting (XSS)? (ad esempio, questo è ottenuto passivamente tramite sandboxing?)

    
posta kalina 19.06.2012 - 21:26
fonte

1 risposta

14

Chrome ha una protezione predefinita contro gli attacchi Reflective XSS. Questo non è un difetto che il sandboxing può risolvere. Questo sistema di protezione funziona osservando le richieste in uscita per javascript e impedendo che javascript venga eseguito nella risposta http. Nessun browser impedisce l'XSS basato su DOM o XSS memorizzato.

La protezione di Chrome è la più debole rispetto alle altre. Il filtro xss di IE non è molto buono , ma leggermente migliore di quello di Chrome . Dalla mia ricerca penso che il NoScript sia di gran lunga il migliore. Ho ignorato il filtro XSS di NoScript sfruttando la mancanza di insensibilità al contenuto e hanno risolto il problema rapidamente. Chrome e IE soffrono ancora di attacchi di insensibilità ai contenuti.

Microsoft afferma che gli attacchi di insensibilità ai contenuti contro IE non sono "vulnerabilità" e che mai correggeranno questi problemi. Chrome ha avuto un bug report aperto per questo problema e non ho visto attività per circa 6 mesi. Quindi Chrome potrebbe risolverlo alla fine, forse . Che a dire il vero entrambe sono risposte orribili al venditore. In generale, trovo che NoScript e Mozilla hanno le risposte più forti alle vulnerabilità nei loro software e come ricercatore di sicurezza con cui sono felici di lavorare

    
risposta data 19.06.2012 - 22:04
fonte

Leggi altre domande sui tag