{"id":206921,"date":"2018-07-22T16:52:19","date_gmt":"2018-07-22T14:52:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=206921"},"modified":"2018-07-26T14:12:05","modified_gmt":"2018-07-26T12:12:05","slug":"microsoft-edge-xss-filter-kaputt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/07\/22\/microsoft-edge-xss-filter-kaputt\/","title":{"rendered":"Microsoft Edge: XSS-Filter kaputt?"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" alt=\"Sicherheit\" width=\"42\" height=\"51\" align=\"left\" border=\"0\" \/>In Microsofts Edge-Browser ist ein XSS-Filter als Sicherheitsfeature enthalten. Aber der XSS-Filter in Microsoft Edge scheint nicht zu funktionieren bzw. ist standardm\u00e4\u00dfig ausgeschaltet. <strong>Erg\u00e4nzung:<\/strong> Das R\u00e4tsel ist gel\u00f6st &#8211; siehe Anmerkung am Artikelende (Microsoft schlachtet das Ganze jetzt).<\/p>\n<p><!--more--><\/p>\n<p>Microsoft hat den XSS-Filter 2008 entwickelt und beim Internet Explorer 8 eingef\u00fchrt. Die Funktion wurde inzwischen auf Edge erweitert und von anderen Browsern wie Google Chrome und Safari \u00fcbernommen. Dieses Sicherheitsmerkmal wird auch \"X-XSS-Protection\" genannt. Es ist unter diesem Namen bekannt, weil Website-Besitzer einen HTTP-Header namens \"X-XSS-Protection\" f\u00fcr den Server konfigurieren k\u00f6nnen.<\/p>\n<p>Wenn Browser eine Seite von diesen Webservern laden und diesen Header erkennen, f\u00fchren sie die XSS-Filter-Schutzfunktionen basierend auf dem Wert dieses Headers aus, der einen von drei Werten aufweisen kann:<\/p>\n<ul>\n<li>Erkennt ein Browser den Header \"X-XSS-Protection: 0\", wird der XSS-Filterschutz deaktiviert.<\/li>\n<li>Erkennt der Browser einen Header \"X-XSS-Protection: 1\", wird der Code der Seite bereinigt und Muster entfernt, die spezifisch f\u00fcr XSS-Angriffe sind.<\/li>\n<li>Beim Wert \"X-XSS-Protection: 1; mode=block\" wird das Rendern (Anzeigen) von Inhalten auf der Seite blockiert, wenn der Browser spezifische Muster f\u00fcr XSS-Angriffe erkennt.<\/li>\n<\/ul>\n<p>Gareth Heyes, Sicherheitsforscher bei der Cyber-Sicherheitsfirma PortSwigger, <a href=\"https:\/\/portswigger.net\/daily-swig\/xss-protection-disappears-from-microsoft-edge\" target=\"_blank\" rel=\"noopener\">schreibt<\/a>, dass der XSS-Filter nicht mehr funktioniere. In den letzten drei Jahren, seit Edge ver\u00f6ffentlicht wurde, hat Edge den zweiten Wert \"X-XSS-Protection: 1\" als Standardeinstellung verwendet. Das bedeutet, dass Edge versucht, den Code jeder geladenen Seite zu bereinigen, unabh\u00e4ngig davon, ob ein X-XSS-Protection-Header konfiguriert war oder nicht.<\/p>\n<p>\"Der XSS-Filter sollte standardm\u00e4\u00dfig eingeschaltet sein\", schreibt Heyes. \"Allerdings ist er jetzt standardm\u00e4\u00dfig ausgeschaltet, und selbst wenn man versucht, es mit \"X-XSS-Protection:1\" einzuschalten, bleibt der Filter aus.\" Der einzige Weg, den Filter jetzt wirklich einzuschalten, ist, wenn man den Header \"X-XSS-Protection: 1; mode=block\" verwendet. Heyes schreibt, dass der Internet Explorer nicht betroffen ist und weiterhin standardm\u00e4\u00dfig XSS-Angriffe erkennt. Details sind <a href=\"https:\/\/portswigger.net\/daily-swig\/xss-protection-disappears-from-microsoft-edge\" target=\"_blank\" rel=\"noopener\">hier<\/a> oder bei <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/microsoft-edges-xss-filter-appears-to-be-broken\/\" target=\"_blank\" rel=\"noopener\">Bleeping Computer<\/a> nachzulesen.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Das 'R\u00e4tsel' ist gel\u00f6st (<a href=\"https:\/\/borncity.com\/blog\/2018\/07\/26\/windows-10-insider-previews-und-weitere-neuerungen\/\">siehe<\/a>). Nachdem Microsoft erwischt wurde, dass das Feature XSS-Filter beim Edge kaputt ist, gibt man in einer neuen Insider Preview von Windows 10 bekannt, dass diese Funktion eingestellt werde. Vorher kein Sterbensw\u00f6rtchen zum Thema.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In Microsofts Edge-Browser ist ein XSS-Filter als Sicherheitsfeature enthalten. Aber der XSS-Filter in Microsoft Edge scheint nicht zu funktionieren bzw. ist standardm\u00e4\u00dfig ausgeschaltet. Erg\u00e4nzung: Das R\u00e4tsel ist gel\u00f6st &#8211; siehe Anmerkung am Artikelende (Microsoft schlachtet das Ganze jetzt).<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[4201,4328],"class_list":["post-206921","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-edge","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/206921","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=206921"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/206921\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=206921"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=206921"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=206921"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}