0
0
O Google publica xs-leaks para incentivar pesquisas sobre o problema difícil de resolver vazamentos entre sites de informações de usuários.
O Google criou um novo site para rastrear vazamentos entre sites, avisando que esses tipos de falha estão sendo usados por alguns sites para roubar informações sobre o usuário ou seus dados em outros aplicativos da Web.
A nova wiki inclui informações sobre os princípios por trás de vazamentos entre sites, ataques comuns e propõe mecanismos de defesa para parar esses ataques.
“Cada vez mais, os problemas de segurança descobertos em aplicativos web modernos dependem do uso indevido de comportamentos de plataformas web de longa data, permitindo que sites desagradáveis revelem informações sobre o usuário ou seus dados em outros aplicativos da Web. Essa classe de problemas, amplamente referida como vazamentos entre sites (XS-Leaks), coloca desafios interessantes para engenheiros de segurança e desenvolvedores de navegadores da Web devido à diversidade de ataques e à complexidade da construção de defesas abrangentes”, disse o Google.
A wiki explica que o XSLeaks “é uma classe de vulnerabilidades derivadas de canais laterais incorporados na plataforma web”.
“Eles se aproveitam do princípio central da composabilidade da web, que permite que os sites interajam entre si e abusem de mecanismos legítimos para inferir informações sobre o usuário”, explica a wiki.
“O princípio de um XS-Leak é usar esses canais laterais disponíveis na web para revelar informações confidenciais sobre os usuários, como seus dados em outros aplicativos da Web, detalhes sobre seu ambiente local ou redes internas a que estão conectados.”
Embora essas vulnerabilidades não sejam geralmente vistas como falhas graves, elas também são muito comuns e podem ser usadas como plataforma de lançamento para ataques mais complexos e prejudiciais.
O Google trabalha em vulnerabilidades do XSS com pesquisadores de segurança externa desde 2010 através de sua recompensa por bugs para sites do Google, incluindo Google e YouTube. O Google costumava ter um recurso no Chrome chamado XSS Auditor que digitalizava o código fonte de um site em busca de sinais de ataques de scripting entre sites no navegador de um usuário. No entanto, ele removeu o XSS Auditor no ano passado depois de descobrir que introduziu muitos vazamentos XS em si.
A wiki passa por tipos de ataques oferece uma visão geral dos recursos de segurança que podem impedi-lo ou atenuá-lo.
Ele também detalha como os desenvolvedores de navegadores da Web podem adotar novos recursos de segurança do navegador, como o Fetch Metadata Request Headers enviados por navegadores com solicitações HTTPS para fornecer contexto sobre como uma solicitação foi iniciada. Isso permite que os aplicativos toem uma decisão mais informada sobre como respondê-las.
Outras defesas incluem cross-origin opener Policy, Cross-Origin Resource Policye SameSite cookies.
FONTE: ZDNET