Google のエンジニアは、長年にわたってユーザーを最も保護してきたセキュリティ機能の 1 つを Google から削除する予定です。 XSS Auditor として知られるこのセキュリティ機能は、 9 年前の 2010 年にリリースされたGoogle Chrome v4 で導入されました。その名前が示すように、このセキュリティ機能は、アクセスした Web サイトのソース コードをスキャンして、クロスサイト スクリプティング (XSS) 攻撃を探します。
この場合、第三者がJavaScript コードまたは別の同様の言語をユーザーがアクセスした Web ページに「挿入」して、機密情報を盗み、ユーザー セッションをハイジャックし、ブラウザを侵害することを可能にする脆弱性について話しています。このセキュリティ機能は、悪意のあるソース コードを削除するか、エラー「ERR_BLOCKED_BY_XSS_AUDITOR」を表示してその読み込みをブロックします。
XSS Auditor セキュリティ機能の廃止
長年にわたり、Google Chrome のこの独自の機能は他のブラウザに組み込まれてきました。しかし、テクノロジーの世界では、経年劣化は容易ではなく、すぐに陳腐化することを避けるためにはトータルなメンテナンスが必要です。 XSS Auditorの場合、Google エンジニアはこれを Chrome から削除する意向を発表しました。
これにはいくつかの理由がありますが、基本的には、 セキュリティ対策を回避する ために最近登場したさまざまな方法によるものです。さらに、このバージョンには、まだ発見されていないセキュリティ ホール以外にも多数のセキュリティ ホールが存在します。インターネット巨人は、XSS Auditor の欠陥をすべて修正することは取り組むには大きすぎる課題であることを認識しています。現時点では、Google Chromeのどのバージョンで利用できなくなるかは確認されていない。私たちが知っているのは、 Trusted Types ブラウザーと呼ばれる新しい API の形で代替品があるということです。これは、Google Chrome が XSS 攻撃に対して実装する新しい防御策です。さらに、これは Web 標準であるため、大規模になり、すぐに他のブラウザにも導入されることになります。