Google se carga una de las funciones de seguridad de Chrome: “es demasiado ineficiente”

Software

El navegador es la puerta de entrada en Internet (o la puerta de salida, según se mire). Esto hace que su seguridad sea fundamental ya que en Internet nos podemos encontrar amenazas de todos los colores, sabores, tipos y formas. Google Chrome ha ido introduciendo muchas mejoras de seguridad, pero no todas han sido capaces de aguantar el paso de los años. De hecho, acabamos de conocer que Google va a eliminar una de las funciones de seguridad de Chrome conocida como XSS Auditor introducida en el año 2010 por ser “demasiado ineficiente”. Os contamos en qué nos afectará y si tendrá un sustituto.

Los ingenieros de Google pretenden eliminar de Google una de las funciones de seguridad que más ha protegido a los usuarios durante muchos años. Conocida como XSS Auditor, esta función de seguridad fue introducida con la versión Google Chrome v4 lanzada hace 9 años en el 2010. Como su propio nombre indica, esta función de seguridad escanea el código fuente de las webs que visitamos para buscar ataques cross-site scripting (XSS).

En este caso, hablamos de una vulnerabilidad que permite a un tercero “inyectar” en páginas web visitadas por el usuario código JavaScript o en otro lenguaje similar para robar información delicada, secuestrar sesiones de usuario, y comprometer el navegador. Esta función se seguridad eliminaba ese código fuente malicioso o bien bloqueaba su carga mostrando el error “ERR_BLOCKED_BY_XSS_AUDITOR”.

Google Chrome ya no contará con la función de seguridad XSS Auditor

Durante años, esta función única de Google Chrome ha ido incorporándose a otros navegadores. Sin embargo, en el mundo de la tecnología envejecer no es fácil y es necesario un mantenimiento total para no quedar rápidamente desfasado. En el caso de XSS Auditor, los ingenieros de Google han anunciado su intención de retirarlo de Chrome.

codigo-pantalla logs registros

Esto es debido a varias razones, pero básicamente por los diferentes métodos que han aparecido en los últimos tiempos para saltarse sus medidas de seguridad. Además, existen un montón de agujeros de seguridad en la versión, además de los que no se han descubierto todavía. El gigante de Internet reconoce que reparar todos los fallos de XSS Auditor es un desafío demasiado grande para ser abordado.

Por el momento, no se ha confirmado en qué versión de Google Chrome dejará de estar disponible. Lo que sí sabemos es que tenemos sustituto en forma de nueva API llamada Trusted Types browser. Esta es la nueva defensa que implementará Google Chrome para los ataques XSS. Además, se trata de un estándar web, lo que implica que será masivo y llevado a otros navegadores pronto.

Escrito por Claudio Valero

Fuente > zdnet