Filtro de XSS de Microsoft Edge parece no funcionar.



Una característica de de seguridad que posee Microsoft Edge parece que ya dejo de funcionar de acuerdo al investigador de Ciber-Seguridad Gareth Heyes de la firma PortSwigger. La característica en cuestión se llama XSS Filter, la cual permite prevenir ataques de Cross Site Scripting(XSS) en el navegador.

Esta característica fue lanzada inicialmente en Internet Explorer 8, por el año 2008, la cual fue un precedente, ya que posteriormente navegadores como Google Chorme y Safari también lo incluyeron dentro de sus características de Seguridad.

La característica se puede controlar desde los headers del sitio web. El programador del sitio es capaz de poder bloquear o sanitizar el contenido del sitio web o desactivar esta característica del navegador.

Si el valor del header "X-XSS-Protection" es igual a 0, este está desactivado, si es el valor igual a 1, este sanitiza el sitio y remueve los patrones específicos del ataque XSS, y si el valor es igual a "1, Mode=block" este bloquea todo el contenido del sitio web.

Cuando el navegador Edge fue lanzado este uso la segunda opción como por defecto, para sanitizar el código del sitio web que pueda tener código alusivo a un XSS.

Pero esta semana, Heyes descubrió que Edge no se comportaba como se suponía en lo que respecta a respetar la configuración del filtro XSS.

"Se supone que el filtro XSS está activado por defecto", dijo Heyes. "Sin embargo, ahora está desactivado por defecto, e incluso si intentas activarlo con X-XSS-Protection: 1 permanece desactivado".

Las razones por las cuales XSS Filter está desactivado de manera predeterminada para todos los sitios se desconoce, ya que no hubo ningún anuncio oficial de Microsoft o del equipo Edge.

Pero esto no parece ser una reconfiguración intencional de parte de Microsoft. En cambio, esto parece ser un error.

Esto se debe a que la característica funciona según lo previsto en Internet Explorer, el otro navegador de Microsoft, donde todavía está activado por defecto. Si Microsoft hubiera querido eliminar esta característica, lo habría hecho desde sus dos navegadores.

Hasta ahora casi nadie llora la salida de esta función, ya que varios expertos en seguridad han logrado evadir esta restricción.