しかし、 検索の巨人は、ユーザーの保護に関しては、うまくいけば、より良いものを削除することを決定しました。
XSS攻撃の間、ハッカーはURLに入力するか、正当なウェブサイトにコンテンツを投稿することによって、独自のコードをウェブサイトに注入します。無実のユーザーが攻撃者が入力したコードを見ると、被害者のクッキーを盗むことからデバイスをマルウェアに感染させるまで、いくつかのタスクを実行できるコマンドをブラウザに転送します。
理想的な世界では、Web サイト開発者は、ユーザーが送信したデータを徹底的にスキャンする手段を実施することで、このような攻撃を防ぐ必要があります。残念ながら、多くの人がそうしなかったので、GoogleはブラウザがHTMLを分析している間に脆弱性を検出しようとするXSS監査人を導入しました。XSS Auditor は、ブロックリストを使用して、攻撃者によって挿入されたコードに類似した疑わしいパターンを特定します。これにより、Google のエンジニアは、XSS コードを完全にブロックするのではなく、迷惑行為を除外しやすくなります。
しかし、Google Chromeエンジニアは監査人に不満を持っているようで、組み込みの機能にもかかわらず、彼らのためにバイパスを見つけることができたと主張しています。
Googleのセキュリティエンジニア、エドゥアルド・ベラ・ナバも月曜日に、XSS監査人が一部の合法的なサイトが機能するのを防ぎ、見かけほど役に立たないと述べています。それにもかかわらず、同社は現在、ウェブページでそれらを使用する前に、ウェブ開発者にコードのサニタイズを強制するという名前で別のツールを開発しています。
バグのあるウェブサイトは、ウェブ開発者とユーザーの両方にとって常に問題のある状況でした。より多くの実施が実施されると、Webサイト上のマルウェアや悪意のあるコンテンツに終止符が打たれると思いますか?
写真: ゴカン・バルチ/アナドル・エージェンシー/ゲッティ・イメージズ