Google Chrome’ning o‘rnatilgan XSS Auditor xavfsizlik funksiyasini o‘chirib tashlaydi.
XSS Auditor XSS hujumlaridan himoya qilishda samarasiz bo’lib qoldi.
Google muhandislari Chrome’ning o‘rnatilgan xavfsizlik funksiyalaridan birini olib tashlashni rejalashtirmoqda. Chrome dasturchisi Tomas Sepesning so‘zlariga ko‘ra, XSS Auditor nomi bilan tanilgan funksiya endi zamonaviy xavfsizlik tizimining talablariga javob bermaydi. XSS Auditor 2010-yilda Chrome v4 versiyasining chiqarilishi bilan Chrome-ga qo’shilgan. Nomidan ko’rinib turibdiki, ushbu himoya funksiyasi foydalanuvchi brauzerida zararli kodni ishga tushirishi mumkin bo’lgan XSS hujumini ko’rsatadigan naqshlar uchun veb-saytning manba kodini skanerlaydi. Agar bunday hujum aniqlansa, Chrome zararli kodni olib tashlashi yoki bildirishnomani ko’rsatib, saytni yuklanishini bloklashi mumkin.
Ko’p yillar davomida XSS Auditor brauzer muhitida o’ziga xos xususiyat bo’lib, Chrome olomondan ajralib turishiga yordam berdi. U ishga tushirilgandan so’ng, boshqa brauzer ishlab chiquvchilari kengaytmalar orqali shunga o’xshash funksiyalarni amalga oshirishni boshladilar. Misol uchun, NoScript bir necha yil davomida XSS hujumidan himoya qilishni qo’llab-quvvatladi.
Google ishlab chiquvchilari XSS Auditorni olib tashlashga qaror qilishlariga bir qancha sabablar bor. Keltirilgan birinchi va asosiy sabab bu XSS Auditorni chetlab o’tishning ko’plab usullari. Bundan tashqari, ushbu zaiflikni tuzatishga qaratilgan barcha urinishlar Chrome brauzerini yanada zaifroq qiladi. XSS Auditor rasmiy veb-saytlarga kirishni bloklagan noto’g’ri pozitivlar bilan bog’liq muammo ham mavjud. Shu sababli, Chrome 74-ning chiqarilishi bilan Google mutaxassislari XSS Auditorning standart «bloklash» rejimini «filtr» ga o’tkazdilar. Bu shuni anglatadiki, 2019 yil aprel oyidan boshlab xavfsizlik xususiyati XSS kodini o’z ichiga olgan veb-saytlarga kirishni bloklamaydi, balki noto’g’ri pozitivlar sonini kamaytirish uchun kodni olib tashlaydi.
Eskirgan XSS Auditor ustida ish 2018-yil oktabr oyida boshlangan. Google muhandislari hali qaysi versiyada xavfsizlik funksiyasi o‘chirib qo‘yilishi va Chrome kod bazasidan olib tashlanishini ko‘rsatmagan.
