Intent to Deprecate and Remove: XSSAuditor1

เตรียมอำลา ฟีเจอร์ XSSAuditor ใน Google Chrome เตรียมถูกถอดถอนหลังถูกพิสูจน์แล้วว่าไม่ช่วยอะไร

ฟีเจอร์ XSS Auditor ใน Google Chrome ซึ่งเป็นหนึ่งในฟีเจอร์สำคัญที่ช่วยปกป้องผู้ใช้งานจากการโจมตีประเภท Cross-site scripting เตรียมเข้าสู่กระบวนการถอดถอนหลังจากที่มีการตรวจสอบแล้วว่าฟีเจอร์นี้ในปัจจุบันอาจสร้างปัญหามากกว่าแก้ไข

เหตุผลหลายประการที่นักพัฒนา Chromium ได้ให้เป็นเหตุผลในการถอดถอนฟีเจอร์ XSS Auditor นั้นได้แก่ กระบวนการตรวจจับที่ออกแบบมาให้ตรวจจับเฉพาะ Reflective XSS เป็นส่วนใหญ่และสามารถถูกบายพาสได้ด้วยหลายวิธีการ, การตรวจจับบางครั้งก็ทำให้เว็บไซต์บางรายไม่สามารถเข้าถึงและใช้งานได้ตามปกติ, ไม่มีการจัดการกับสิ่งที่เจออย่างมีประสิทธิภาพและยังนำไปสู่ช่องโหว่ประเภทใหม่ซึ่งชื่อว่า cross-site infoleaks อีกด้วย

กระบวนการทำงานโดยส่วนใหญ่ของกลุ่มเอนจิน anti-XSS นี้โดยส่วนใหญ่ใช้ regular expression ในการสร้างฟิลเตอร์ ซึ่งส่งผลให้โอกาสที่จะเกิด false positive นั้นมีมากขึ้น

ที่มา: groups.