Dove risiede la responsabilità di una vulnerabilità XSS

5

Sono un accanito utente di Workflowy (strumento online per prendere appunti e prendere appunti) e ho installato l'estensione di Chrome " Workflowy for Coders ', che formatta il testo all'interno delle note.

Ho scoperto che uno dei miei appunti ha attivato un JavaScript XSS (perché era un campione di XSS ( <script>document.location="http://google.com";</script> )). La vulnerabilità si è interrotta quando ho disabilitato l'estensione.

Ho inviato note, sia a Workflowy che al creatore dell'estensione, ma sono curioso, chi è tecnicamente responsabile? Workflowy, il creatore dell'estensione o Chrome? Non potevo pensare a una risposta chiara a questa domanda.

Se non c'è una risposta chiara, potrebbero esserci implicazioni più ampie per gli sviluppatori web.

    
posta schroeder 31.08.2012 - 01:02
fonte

1 risposta

5

L'errore è quasi certamente quello dell'estensione Workflowy. È responsabilità dello sviluppatore dell'estensione assicurarsi che le loro estensioni siano sicure ed evitare di introdurre errori come le vulnerabilità XSS nelle loro estensioni.

Le vulnerabilità XSS sono comuni nelle estensioni del browser. È facile per gli sviluppatori di estensioni rovinare e introdurre una vulnerabilità XSS, e gli sviluppatori di estensioni spesso non si concentrano principalmente sulla sicurezza e potrebbero non essere molto consapevoli dei problemi di sicurezza, quindi le vulnerabilità di sicurezza nelle estensioni del browser sono comuni.

In realtà, Chrome è in prima linea nello sviluppo di attenuazioni contro questo tipo di vulnerabilità. Mentre la responsabilità è in definitiva con lo sviluppatore dell'estensione, Chrome recentemente ha introdotto < a href="http://developer.chrome.com/extensions/contentSecurityPolicy.html"> potenti attenuazioni che rendono meno probabili le vulnerabilità XSS nelle nuove estensioni . Queste attenuazioni si basano sulla limitazione delle estensioni, utilizzando una politica di sicurezza dei contenuti, in un modo che aiuta a prevenire le vulnerabilità XSS.

Per motivi di compatibilità con le versioni precedenti, le nuove restrizioni si applicano solo alle nuove estensioni. Ci vorrà un po 'di tempo prima che queste nuove difese siano completamente integrate. Detto questo, questo è un grande sviluppo. Aiuterà davvero a proteggere gli utenti. Spero che altri browser seguano l'esempio.

Per ulteriori informazioni su questo argomento, ecco una recente ricerca su questo argomento:

Alcuni risultati di esempio del documento:

  • Un'analisi di 100 estensioni di Chrome selezionate casualmente ha rilevato che il 40% delle estensioni di Chrome presenta almeno una vulnerabilità alla sicurezza.

  • La stessa analisi ha anche rilevato che le nuove difese di Chrome dovrebbero eliminare il 94% delle vulnerabilità più gravi.

Vedi anche un post sul blog che riassume i risultati del documento e altro follow-up .

    
risposta data 31.08.2012 - 06:01
fonte

Leggi altre domande sui tag