Разработчики Chrome планируютактивировать поддержку механизма Signed HTTP Exchanges (SXG) для организации размещения верифицированных копий web-страниц на других сайтах, выглядящих для пользователя как исходные страницы. При помощи SXG владелец одного сайта при помощи цифровой подписи может авторизировать размещения определённых страниц на другом сайте. В случае обращения к этим страницам на втором сайте, браузер будет показывать пользователю URL исходного сайта, несмотря на то, что страница загружена с другого хоста. Компания Google развивает SGX в контексте исключения возможных MITM-атак на страницы, распространяемые при помощи технологии AMP (Accelerated Mobile Pages). AMP представляет собой систему кэширования для отдачи страниц пользователю не напрямую, а через инфраструктуру Google. SGX позволит на уровне цифровых подписей гарантировать соответствие прокэшированной и исходной страниц, а также решает проблему с отображением в адресной строке другого домена (сейчас показывается https://cdn.ampproject.org/c/s/example.com), что вызывает замешательство пользователей. Кроме AMP технология SXG может быть использована для распространения web-приложений в форме пакетов (Web Packaging) в режиме "peer-to-peer", позволяющем делиться приложениями через сторонние площадки без необходимости постоянного нахождения источника в online, но гарантируя неизменность, целостность и авторство содержимого. Технология также позволяет организовать работу сетей доставки контента (CDN) без получения контроля за SSL-сертификатом сайта (в тестовом режиме поддержка SXG уже реализована в Cloudflare CDN). В настоящее время реализация SXG уже добавлена в Chrome 71, но пока неактивна и ограничена тестами в режиме "Origin Trial". При помощи SXG автор контента может сформировать цифровую подпись при помощи своего закрытого ключа (используется штатный ключ от TLS-сертификата с активным расширением CanSignHttpExchanges). Цифровая подпись авторизует одну операцию, охватывающую только один конкретный запрос и отдаваемый в ответ на него контент. Подобные цифровые подписи необходимо сформировать для всех страниц, которые разрешено распространять через сторонние web-серверы. При открытии подобных страниц пользователем браузер проверяет корректность цифровой подписи по предоставленному исходным сайтом открытому ключу и если целостность подтверждена показывает в адресной строке исходный URL. Разработчики Safari и Firefox пока не намерены добавлять SXG в свои браузеры, более того Mozilla считает данную технологию вредной и разрушающей модель обеспечения безопасности. По мнению Mozilla обработка страниц через инфраструктуру третьих лиц создаёт дополнительные угрозы приватности, так как пользователь взаимодействует с совсем другим сервером, но обработка информации производится как будто он обращается к оригинальному ресурсу. По мнению разработчиков Chrome данные опасения не оправданы, так как пользователь явно должен перейти по ссылке на другой сайт и угрозы утечки сведений о пользователе не выше чем при использовании транзитного проброса через третий сайт при помощи ответа с 302 кодом редиректа. Разница лишь в том, что при SXG страница будет отдана сразу, а при 302-редиректе её отдаст исходный сайт, но и там и там потребуется переход по внешней ссылке, третье лицо обработает запрос и в адресной строке отобразится исходный сайт. 27.01.2019 https://www.opennet.ru/opennews/art.shtml?num=50033
В Chrome появится защита от XSS-атак через DOM Специалисты планируют протестировать функцию под названием Trusted Types на протяжении 2019 года. Инженеры Google работают над новым API для браузера Chrome, который призван защитить пользователей от определенного типа XSS-атак, в частности, XSS через DOM (DOM Based XSS). Специалисты планируют протестировать функцию под названием Trusted Types на протяжении 2019 года (в версиях Chrome 73 - 76) и, если все пойдет как положено, новый функционал станет постоянным. Эксперты различают несколько типов XSS: «отраженные» («reflected XSS» или «Type 1»), «хранимые» («stored XSS» или «Type 2»), XSS через DOM. Последняя, по сути, представляет собой уязвимость в исходном коде сайта, которой злоумышленники могут воспользоваться для совершения различных действий – кражи файлов cookie, манипуляции содержимым страницы, переадресации пользователей и пр. Задача Trusted Types заключается в предотвращении подобного рода атак путем блокировки «точек внедрения» кода в код web-сайта. Включить новую функцию владельцы сайтов смогут в настройках CSP (Content Security Policy), выставив определенное значение. Более подробно новый функционал описан вблогеGoogle. Trusted Types станет второй функцией Chrome, направленной на защиту от XSS-атак, после фильтра XSS Auditor, представленного в выпущенной в 2010 году версии Chrome 4. XSS в DOM-модели возникает на стороне клиента во время обработки данных внутри JavaScript сценария. Данный тип XSS получил такое название, поскольку реализуется через DOM (Document Object Model) — не зависящий от платформы и языка программный интерфейс, позволяющий программам и сценариям получать доступ к содержимому HTML и XML-документов, а также изменять содержимое, структуру и оформление таких документов. При некорректной фильтрации возможно модифицировать DOM атакуемого сайта и добиться выполнения JavaScript-кода в контексте атакуемого сайта. https://www.securitylab.ru/news/497983.php