In Microsofts Edge-Browser ist ein XSS-Filter als Sicherheitsfeature enthalten. Aber der XSS-Filter in Microsoft Edge scheint nicht zu funktionieren bzw. ist standardmäßig ausgeschaltet. Ergänzung: Das Rätsel ist gelöst – siehe Anmerkung am Artikelende (Microsoft schlachtet das Ganze jetzt).
Anzeige
Microsoft hat den XSS-Filter 2008 entwickelt und beim Internet Explorer 8 eingeführt. Die Funktion wurde inzwischen auf Edge erweitert und von anderen Browsern wie Google Chrome und Safari übernommen. Dieses Sicherheitsmerkmal wird auch "X-XSS-Protection" genannt. Es ist unter diesem Namen bekannt, weil Website-Besitzer einen HTTP-Header namens "X-XSS-Protection" für den Server konfigurieren können.
Wenn Browser eine Seite von diesen Webservern laden und diesen Header erkennen, führen sie die XSS-Filter-Schutzfunktionen basierend auf dem Wert dieses Headers aus, der einen von drei Werten aufweisen kann:
- Erkennt ein Browser den Header "X-XSS-Protection: 0", wird der XSS-Filterschutz deaktiviert.
- Erkennt der Browser einen Header "X-XSS-Protection: 1", wird der Code der Seite bereinigt und Muster entfernt, die spezifisch für XSS-Angriffe sind.
- Beim Wert "X-XSS-Protection: 1; mode=block" wird das Rendern (Anzeigen) von Inhalten auf der Seite blockiert, wenn der Browser spezifische Muster für XSS-Angriffe erkennt.
Gareth Heyes, Sicherheitsforscher bei der Cyber-Sicherheitsfirma PortSwigger, schreibt, dass der XSS-Filter nicht mehr funktioniere. In den letzten drei Jahren, seit Edge veröffentlicht wurde, hat Edge den zweiten Wert "X-XSS-Protection: 1" als Standardeinstellung verwendet. Das bedeutet, dass Edge versucht, den Code jeder geladenen Seite zu bereinigen, unabhängig davon, ob ein X-XSS-Protection-Header konfiguriert war oder nicht.
"Der XSS-Filter sollte standardmäßig eingeschaltet sein", schreibt Heyes. "Allerdings ist er jetzt standardmäßig ausgeschaltet, und selbst wenn man versucht, es mit "X-XSS-Protection:1" einzuschalten, bleibt der Filter aus." Der einzige Weg, den Filter jetzt wirklich einzuschalten, ist, wenn man den Header "X-XSS-Protection: 1; mode=block" verwendet. Heyes schreibt, dass der Internet Explorer nicht betroffen ist und weiterhin standardmäßig XSS-Angriffe erkennt. Details sind hier oder bei Bleeping Computer nachzulesen.
Anzeige
Ergänzung: Das 'Rätsel' ist gelöst (siehe). Nachdem Microsoft erwischt wurde, dass das Feature XSS-Filter beim Edge kaputt ist, gibt man in einer neuen Insider Preview von Windows 10 bekannt, dass diese Funktion eingestellt werde. Vorher kein Sterbenswörtchen zum Thema.
Anzeige
Da ich den Edge eh nicht benutze und den Zugriff deaktiviert habe und am liebsten deinstallieren würde, juckt mich das keinen Meter.
Witziger weise hatte ich vor einiger zeit den IE deinstalliert und anschließend einige Probleme mit Diversen Spielen die den IE wohl doch noch benötigen.