Google Chrome blocca le XSS
Link sponsorizzati
Articolo a cura di Malex
Interessante questa funzionalità, presente nella versione 4.0.207.0, la Dev disponibile per sistemi Linux e Mac, che ha il compito di bloccare le XSS. Ma non tutte, intendiamoci: se inseriamo il classico alert(“XSS”); Chrome lo ignorerà, perché effettivamente non comporta alcun pericolo.
Link sponsorizzati
Quindi cosa blocca esattamente? Semplice, blocca il codice javascript non appartenente alla pagina in sé, quindi, inutile tentare di includere un .js che compia del cookie grabbing, Chrome lo bloccherà.
Al momento, a lato utente ciò non viene notato, infatti, è necessario aprire la Console Javascript per vedere il log di ciò che è stato bloccato. In questi giorni stanno valutando di come e che interfaccia inserire per informare l’utente dell’avvenuto blocco del codice potenzialmente dannoso.
BigG sottolinea che questa è ancora una versione beta di questa funzionalità, e che verrà migliorata in versioni successive.
Quindi, la lotta alle XSS è passata dal lato dei Browser, giacché molti siti ancora non le fixano, anche quelle che potrebbero essere potenzialmente dannose.
Aspetto commenti riguardo a questa interessante novità di Google.
Link sponsorizzati
