¿Dónde reside la responsabilidad de una vulnerabilidad XSS?

Navega tus respuestas
5

Soy un ávido usuario de Workflowy (herramienta de toma de notas / en línea) y instalé la extensión de Chrome ' Workflowy for Coders ', que formatea el texto dentro de las notas.

Descubrí que una de mis notas activó un Javascript XSS (porque era una muestra de XSS ( <script>document.location="http://google.com";</script> )). La vulnerabilidad se detuvo cuando deshabilité la extensión.

Envié notas, tanto a Workflowy como al creador de la extensión, pero tengo curiosidad, ¿quién es técnicamente responsable? Workflowy, el creador de la extensión, o Chrome? No pude pensar en una respuesta clara a esa pregunta.

Si no hay una respuesta clara, podría haber implicaciones más amplias para los desarrolladores web.

    
pregunta schroeder 31.08.2012 - 01:02
fuente

1 respuesta

5

La falla es casi con seguridad la de la extensión Workflowy. Es responsabilidad del desarrollador de la extensión asegurarse de que sus extensiones sean seguras y evitar la introducción de errores como las vulnerabilidades XSS en sus extensiones.

Las vulnerabilidades de XSS son comunes en las extensiones del navegador. Es fácil para los desarrolladores de extensiones arruinar e introducir una vulnerabilidad XSS, y los desarrolladores de extensiones a menudo no están enfocados principalmente en la seguridad y pueden no estar muy conscientes de los problemas de seguridad, por lo que las vulnerabilidades de seguridad en las extensiones del navegador son comunes.

En realidad, Chrome está a la vanguardia del desarrollo de mitigaciones contra este tipo de vulnerabilidades. Si bien la responsabilidad es en última instancia con el desarrollador de extensiones, Chrome recientemente introdujo < a href="http://developer.chrome.com/extensions/contentSecurityPolicy.html"> mitigaciones poderosas que hacen que las vulnerabilidades de XSS en nuevas extensiones sean menos probables . Estas mitigaciones se basan en la restricción de extensiones, utilizando una Política de seguridad de contenido, de manera que ayude a prevenir las vulnerabilidades de XSS.

Por razones de compatibilidad con versiones anteriores, las nuevas restricciones solo se aplican a las nuevas extensiones. Tomará algún tiempo para que estas nuevas defensas se introduzcan por completo. Dicho esto, este es un gran desarrollo. Realmente ayudará a proteger a los usuarios. Espero que otros navegadores sigan su ejemplo.

Para más información sobre este tema, aquí hay un documento de investigación reciente sobre este tema:

Algunos resultados de la muestra del documento:

  • Un análisis de 100 extensiones de Chrome seleccionadas al azar encontró que el 40% de las extensiones de Chrome tenían al menos una vulnerabilidad de seguridad.

  • El mismo análisis también encontró que las nuevas defensas de Chrome deberían eliminar el 94% de las vulnerabilidades más graves.

Consulte también una publicación de blog que resume los hallazgos del documento , y otro seguimiento .

    
respondido por el D.W. 31.08.2012 - 06:01
fuente

Lea otras preguntas en las etiquetas

Problemas de seguridad de Skype en una red empresarial ¿Es más seguro usar decrypt_derived que un archivo de claves?