por Tatiane MaldanerO Internet Explorer é um software com filtro de XSS. Ataques de XSS dificilmente são considerados graves. Mesmo assim o Internet Explorer 8 tenta identificar um ataque de XSS e alterar o conteúdo da página para neutralizá-lo.
Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web.
Através de um XSS, o hacker injeta codigos JavaScript em um campo texto de uma página já existente e este JavaScript é apresentado para outros usuários. Isso pode acontecer principalmente quando um site permite que o usuário crie conteúdo (comentários de blogs ou recados no Orkut, Twitter, FaceBook, etc.) ou quando um link exibe conteúdo na página ( Goggle e outros sites de busca.)
Ao alterar a página web para tentar proteger os internautas, o IE8 abre uma nova vulnerabilidade. A falha está no navegador. Um hacker pode “brincar” com o filtro e fazer com que, após a filtragem, o site passe a ser vulnerável.
Através de um XSS, o hacker injeta codigos JavaScript em um campo texto de uma página já existente e este JavaScript é apresentado para outros usuários. Isso pode acontecer principalmente quando um site permite que o usuário crie conteúdo (comentários de blogs ou recados no Orkut, Twitter, FaceBook, etc.) ou quando um link exibe conteúdo na página ( Goggle e outros sites de busca.)
Ao alterar a página web para tentar proteger os internautas, o IE8 abre uma nova vulnerabilidade. A falha está no navegador. Um hacker pode “brincar” com o filtro e fazer com que, após a filtragem, o site passe a ser vulnerável.
Entre os sites que se tornam problemáticos devido ao filtro do Internet Explorer 8 estão a Wikipedia, o Google, o Twitter e até o Bing, da própria Microsoft.
A Microsoft já lançou duas atualizações para eliminar problemas no filtro de XSS do IE8. No entanto, alguns ainda persistem. Mais uma atualização deve ser lançada para tentar eliminar os problemas restantes.
É dever também dos websites filtrar aquilo que é enviado pelos usuários para garantir que a página não envie código ao navegador quando devia enviar apenas texto. Códigos recebidos por um ataque de XSS podem comprometer as credenciais de acesso (login/senha), roubar dados ou até fazer com que o internauta envie mensagens nas redes sociais. “Vírus” de e-mails e redes sociais que funcionam apenas com XSS já foram criados.
A Microsoft acredita que, apesar disso, os navegadores devem incluir algum tipo de filtro também. A empresa argumenta que as defesas são muito mais benéficas do que os riscos que podem ser criados pelo filtro.
A Microsoft já lançou duas atualizações para eliminar problemas no filtro de XSS do IE8. No entanto, alguns ainda persistem. Mais uma atualização deve ser lançada para tentar eliminar os problemas restantes.
É dever também dos websites filtrar aquilo que é enviado pelos usuários para garantir que a página não envie código ao navegador quando devia enviar apenas texto. Códigos recebidos por um ataque de XSS podem comprometer as credenciais de acesso (login/senha), roubar dados ou até fazer com que o internauta envie mensagens nas redes sociais. “Vírus” de e-mails e redes sociais que funcionam apenas com XSS já foram criados.
A Microsoft acredita que, apesar disso, os navegadores devem incluir algum tipo de filtro também. A empresa argumenta que as defesas são muito mais benéficas do que os riscos que podem ser criados pelo filtro.
Fonte: Microsoft, G1, Terra.
Postagens
0 comentários:
Postar um comentário