Hlavní navigace

Chrome přidává ochranu před útoky cross site scripting

2. 2. 2010

Sdílet

Google přidal do svého prohlížeče Chrome nové bezpečnostní funkce, které by měly uživatele chránit před dvěma rozšířenými typy útoků: clickjakingem a cross-site scripting (XSS).

Podobné bezpečnostní možnosti jako první představil Microsoft v Internet Exploreru verze 8. Funkce určená proti clickjackingu se v Chrome nazývá XFrame. Proti XSS útoků slouží speciální filtr, který kontroluje, zda spouštěný skript je legitimní součástí webu.

Adam Barth z týmu vývojářů Chrome uvedl, že filtr je podobný tomu, jaký pracuje v Internet Exploreru, nebo doplňku NoScript pro Firefox. Výhodou Chrome je ale to, že filtr je přímo součástí renderovacího jádra prohlížeče (open source komponenta WebKit, kterou používá také Safari). Díky tomu má být v Chrome možné analyzovat skript těsně před tím, že by byl vykonán, což má být účinné i proti některým sofistikovanějším verzím útoků XSS.

ICTS24

Nové bezpečnostní funkce jsou k dispozici pro uživatele nejnovější stabilní verze Chrome 4 (stabilní verze je taková, kterou Google doporučuje pro běžné použití). Poslední vydaná aktualizace Chrome opravuje také několik chyb zabezpečení (13 zranitelností, z toho 6 podle Googlu kritických), Google však zatím neupřesnil, o jaké zranitelnosti konkrétně se jednalo a jak mohly být zneužity.