మైక్రోసాఫ్ట్ ఎడ్జ్‌లో బగ్ ద్వారా క్రాస్-సైట్ స్క్రిప్టింగ్ X-XSS- రక్షణ నిలిపివేయబడింది

వార్తలు
భద్రత / మైక్రోసాఫ్ట్ ఎడ్జ్‌లో బగ్ ద్వారా క్రాస్-సైట్ స్క్రిప్టింగ్ X-XSS- రక్షణ నిలిపివేయబడింది 2 నిమిషాలు చదవండి

మైక్రోసాఫ్ట్



యొక్క X-XSS రక్షణ లక్షణం మైక్రోసాఫ్ట్ ఎడ్జ్ 2008 లో సిస్టమ్ ప్రవేశపెట్టినప్పటి నుండి క్రాస్-సైట్ స్క్రిప్టింగ్ దాడులను నివారించడానికి బ్రౌజర్ స్థానంలో ఉంది. మొజిల్లా ఫైర్‌ఫాక్స్ యొక్క డెవలపర్లు మరియు అనేకమంది విశ్లేషకులు వంటి టెక్ పరిశ్రమలో కొందరు ఈ లక్షణాన్ని మొజిల్లాతో చేర్చడానికి నిరాకరించడంతో విమర్శించారు. దాని బ్రౌజర్, మరింత సమగ్రమైన క్రాస్ బ్రౌజింగ్ అనుభవం కోసం ఆశలను తిప్పికొట్టడం, గూగుల్ క్రోమ్ మరియు మైక్రోసాఫ్ట్ యొక్క సొంత ఇంటర్నెట్ ఎక్స్‌ప్లోరర్ ఈ లక్షణాన్ని అమలులో ఉంచాయి మరియు మైక్రోసాఫ్ట్ నుండి ఇంకా ఎటువంటి ప్రకటన వెలువడలేదు. 2015 నుండి, మైక్రోసాఫ్ట్ ఎడ్జ్ X-XSS ప్రొటెక్షన్ ఫిల్టర్ X-XSS స్క్రిప్ట్ ప్రారంభించబడిందా లేదా అనే దానితో సంబంధం లేకుండా వెబ్ పేజీలలో ఇటువంటి కోడ్ క్రాసింగ్ ప్రయత్నాలను ఫిల్టర్ చేసే విధంగా కాన్ఫిగర్ చేయబడింది, అయితే ఆ లక్షణం డిఫాల్ట్‌గా ఒకసారి గారెత్ హేయెస్ కనుగొన్నారు పోర్ట్‌స్విగ్గర్ మైక్రోసాఫ్ట్ ఎడ్జ్ బ్రౌజర్‌లో ఇప్పుడు డిసేబుల్ చెయ్యడానికి, మైక్రోసాఫ్ట్ ఈ మార్పుకు బాధ్యత వహిస్తూ ముందుకు రానందున అతను బగ్ కారణంగా భావించాడు.

ఆఫ్ మరియు స్క్రిప్ట్‌ల బైనరీ భాషలో, బ్రౌజర్ “X-XSS-Protection: 0” రెండరింగ్ హెడర్‌ను హోస్ట్ చేస్తే, క్రాస్-సైట్ స్క్రిప్టింగ్ డిఫెన్స్ మెకానిజం నిలిపివేయబడుతుంది. విలువ 1 కు సెట్ చేయబడితే, అది ప్రారంభించబడుతుంది. మూడవ ప్రకటన “X-XSS- రక్షణ: 1; మోడ్ = బ్లాక్ ”వెబ్ పేజీని పూర్తిగా ముందుకు రాకుండా బ్లాక్ చేస్తుంది. విలువను డిఫాల్ట్‌గా 1 కి సెట్ చేయాల్సి ఉన్నప్పటికీ, ఇప్పుడు అది మైక్రోసాఫ్ట్ ఎడ్జ్ బ్రౌజర్‌లలో 0 కి సెట్ చేయబడినట్లు హేస్ కనుగొన్నారు. అయినప్పటికీ, మైక్రోసాఫ్ట్ యొక్క ఇంటర్నెట్ ఎక్స్‌ప్లోరర్ బ్రౌజర్‌లో ఇది కనిపించడం లేదు. ఈ సెట్టింగ్‌ను రివర్స్ చేయడానికి ప్రయత్నిస్తే, ఒక వినియోగదారు స్క్రిప్ట్‌ను 1 కి సెట్ చేస్తే, అది తిరిగి 0 కి తిరిగి వస్తుంది మరియు ఫీచర్ ఆఫ్‌లో ఉంటుంది. మైక్రోసాఫ్ట్ ఈ ఫీచర్ గురించి ముందుకు రాలేదు మరియు ఇంటర్నెట్ ఎక్స్‌ప్లోరర్ దీనికి మద్దతు ఇస్తూనే ఉంది, ఇది బ్రౌజర్‌లోని బగ్ యొక్క ఫలితమని, తదుపరి నవీకరణలో మైక్రోసాఫ్ట్ పరిష్కరిస్తుందని మేము ఆశిస్తున్నాము.



విశ్వసనీయ వెబ్ పేజీ హానికరమైన సైడ్ స్క్రిప్ట్‌ను వినియోగదారుకు ముందుకు తీసుకువెళ్ళినప్పుడు క్రాస్-సైట్ స్క్రిప్టింగ్ దాడులు జరుగుతాయి. వెబ్ పేజీ నమ్మదగినది కాబట్టి, అటువంటి హానికరమైన ఫైల్‌లు ముందుకు రాకుండా చూసుకోవడానికి సైట్ యొక్క విషయాలు ఫిల్టర్ చేయబడవు. దీన్ని నివారించడానికి సూత్రప్రాయమైన మార్గం ఏమిటంటే, అన్ని వెబ్ పేజీల కోసం బ్రౌజర్‌లో HTTP TRACE నిలిపివేయబడిందని నిర్ధారించుకోవడం. ఒక హ్యాకర్ ఒక హానికరమైన ఫైల్‌ను వెబ్ పేజీలో నిల్వ చేసి ఉంటే, ఒక వినియోగదారు దాన్ని యాక్సెస్ చేసినప్పుడు, యూజర్ యొక్క కుకీలను దొంగిలించడానికి HTTP ట్రేస్ కమాండ్ నడుస్తుంది, ఇది వినియోగదారు సమాచారాన్ని యాక్సెస్ చేయడానికి మరియు అతని లేదా ఆమె పరికరాన్ని హ్యాక్ చేయగలదు. బ్రౌజర్‌లో దీన్ని నివారించడానికి, X-XSS- ప్రొటెక్షన్ ఫీచర్ ప్రవేశపెట్టబడింది, అయితే విశ్లేషకులు వాదిస్తున్నారు, అలాంటి దాడులు వారు వెతుకుతున్న సమాచారాన్ని పొందడానికి ఫిల్టర్‌ను దోపిడీ చేయగలవని. అయినప్పటికీ, చాలా వెబ్ బ్రౌజర్‌లు ఈ స్క్రిప్ట్‌ను రక్షణ యొక్క మొదటి పంక్తిగా కొనసాగించాయి, ఇవి చాలా ప్రాథమిక రకాలైన XSS ఫిషింగ్‌ను నివారించడానికి మరియు వడపోత వల్ల కలిగే ఏవైనా హానిలను అరికట్టడానికి అధిక భద్రతా నిర్వచనాలను కలిగి ఉన్నాయి.