Investigadores de la
firma de seguridad PortSwigger ha estado analizando la seguridad del navegador
de Microsoft, concretamente este filtro XSS del que tanto ha hablado la
compañía indicando que era una de las mejores medidas de seguridad del
navegador. Microsoft desarrolló esta medida de seguridad en 2008 para Internet
Explorer, y desde entonces ha llegado a otros navegadores, como Chrome y
Safari, así como a Edge cuando Microsoft lo lanzó en Windows 10.
A grandes rasgos,
esta medida de seguridad permite a los desarrolladores introducir un encabezado
en las páginas de manera que sean estos quienes puedan configurar el
funcionamiento de este filtro XSS, encabezado que, según su valor, actuará de
una forma u otra:
a)
X-XSS-Protection:
0 (deshabilita la protección).
b)
X-XSS-Protection:
1 (desinfecta el código y elimina los patrones utilizados en ataques XSS).
c)
X-XSS-Protection:
1; mode=block (bloquea cualquier contenido si se detectan patrones XSS).
Microsoft configuró
Edge por defecto para que siempre funcionara con el segundo modo (desinfectar
el código cuando se sospeche de posibles ataques), ignorando las cabeceras que
pudiera haber en cualquier página web, y esta medida de seguridad ha estado
funcionando sin problemas, hasta hace poco.
El filtro XSS está activado en Microsoft
Edge, pero no funciona
Aunque este filtro
está activado en Edge por defecto, en realidad este no está funcionando como es
debido, porque, tal como ha demostrado este investigador, el navegador no
analiza ni filtra el código XSS oculto en una página web, ni siquiera aunque se
introduzca a la fuerza la cabecera “X-XSS-Protection: 1“.
No se sabe por qué
ocurre esto, ni si se trata de un error en el navegador de Microsoft o es algo
que la compañía ha hecho a propósito. Lo que sí se sabe es que en Internet
Explorer esta medida de seguridad sí que está activada y funciona
correctamente. Además, si activamos el filtro más agresivo en la propia
cabecera o en la configuración, “X-XSS-Protection: 1; mode=block”, este sí
funciona correctamente, pero solo ese, y la verdad es que, con él, muchas webs
no funcionan correctamente.
De todas formas,
hasta los propios desarrolladores de Microsoft aseguran que el filtro XSS, a
día de hoy, no es tan crítico como antes, ya que el propio sistema operativo es
capaz de detectar y bloquear estos ataques informáticos. Puede que Microsoft
haya recapacitado y que, igual que Mozilla con Firefox, empiece a pasar un poco
de esta medida de seguridad de su navegador para mejorar centrar su seguridad
en otros aspectos.
Por el momento habrá
que esperar a ver si esto es efectivamente un error o se trata de algo hecho a
propósito.
Fuente: bleepingcomputer