Microsoft: IE8 XSS-filter beschermt tegen 70% webdreigingen
Veel ontwikkelaars en bedrijven onderschatten de dreiging van cross-site scripting (XSS) en brengen daardoor miljoenen internetgebruikers in gevaar, aldus Microsoft dat een speciaal XSS-filter aan Internet Explorer 8 toevoegde. Russ McRee van Microsoft’s Online Services Security & Compliance Incident Management team krijgt vaak met XSS-aanvallen te maken. "Er heerst een misverstand rond XSS-aanvallen dat die minder impact dan andere soorten aanvallen hebben, en dat het vaak meer theoretisch dan praktisch is. Daarom denken we dat de toevoeging van het XSS-filter aan IE zo belangrijk is."
Het Web Application Security Consortium kwam laatst met cijfers waaruit bleek dat XSS met 41% het meest voorkomende beveiligingslek op websites is. Zo werden op 10.297 geanalyseerde sites 28.796 XSS-lekken gevonden. Tijdens de laatste zes maanden van 2007 documenteerde Symantec 11.253 site-specifieke XSS-lekken tegenover 6961 in de eerste helft van vorig jaar. Een ander onderzoek toonde aan dat 90% van de websites tenminste één lek heeft en dat 70% van de lekken XSS zijn.
"Aangezien XSS-lekken van epidemische proporties zijn, is het XSS-filter in IE8, bedoeld om consumenten tegen deze enorme aanvalsvector te beschermen, een fantastisch iets. Gebruikers worden niet opgezadeld met vragen die ze toch niet kunnen beantwoorden. IE blokkeert gewoon het kwaadaardige script. Terugkijkend naar de cijfers betekent dit dat 70% van de mogelijke dreigingen waarmee IE8 gebruikers te maken kunnen krijgen wordt afgevangen door het XSS-filter," zo laat McCree weten.
Maar scheelt wel enorm.
Peter
Net als spam-filters en virusdefinities zal ook het xss-filter regelmatig van een update worden voorzien.
Dat lijkt me niet meer dan logisch.
Ook in dit geval is het getal 70 al de vraag, eerder staat er dat 41% van de risico's XSS gerelateerd is. Wat is dan waar? Je ziet wel een enorme toename in het aantal xss dreigingen, dus als dat risico wordt ingeperkt, dan is dat al winst.
100% beveiliging is niet alleen een technisch dingetje. Het toepassen van verschillende lagen van beveiliging, technisch en menselijk, zal de risico's aanzienlijk beperken. Ik ben er 100% van overtuigd dat mijn pc geen enkel risico loopt. En dan gebruik ik op mijn xp box gewoon een eenvoudige avast scanner (om die security meldingen uit te zetten), de xp firewall (idem) en probeer ik verstandig om te gaan met gebruikte software.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.