Veel ontwikkelaars en bedrijven onderschatten de dreiging van cross-site scripting (XSS) en brengen daardoor miljoenen internetgebruikers in gevaar, aldus Microsoft dat een speciaal XSS-filter aan Internet Explorer 8 toevoegde. Russ McRee van Microsoft’s Online Services Security & Compliance Incident Management team krijgt vaak met XSS-aanvallen te maken. "Er heerst een misverstand rond XSS-aanvallen dat die minder impact dan andere soorten aanvallen hebben, en dat het vaak meer theoretisch dan praktisch is. Daarom denken we dat de toevoeging van het XSS-filter aan IE zo belangrijk is."
Het Web Application Security Consortium kwam laatst met cijfers waaruit bleek dat XSS met 41% het meest voorkomende beveiligingslek op websites is. Zo werden op 10.297 geanalyseerde sites 28.796 XSS-lekken gevonden. Tijdens de laatste zes maanden van 2007 documenteerde Symantec 11.253 site-specifieke XSS-lekken tegenover 6961 in de eerste helft van vorig jaar. Een ander onderzoek toonde aan dat 90% van de websites tenminste één lek heeft en dat 70% van de lekken XSS zijn.
"Aangezien XSS-lekken van epidemische proporties zijn, is het XSS-filter in IE8, bedoeld om consumenten tegen deze enorme aanvalsvector te beschermen, een fantastisch iets. Gebruikers worden niet opgezadeld met vragen die ze toch niet kunnen beantwoorden. IE blokkeert gewoon het kwaadaardige script. Terugkijkend naar de cijfers betekent dit dat 70% van de mogelijke dreigingen waarmee IE8 gebruikers te maken kunnen krijgen wordt afgevangen door het XSS-filter," zo laat McCree weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.