Microsoft Edge no es tan seguro como asegura Microsoft; su filtro XSS no funciona

Escrito por Rubén Velasco

Con Microsoft Edge, Microsoft pretendió acabar con todos los problemas de seguridad y todas las debilidades de su navegador anterior, Internet Explorer. Para ello, la compañía introdujo en el navegador una serie de funciones y nuevas medidas de seguridad, como el filtro XSS, para hacer al navegador capaz de protegerse de los ataques informáticos más frecuentes, como los ataques Cross-Site Scripting. Aunque la idea podía ser buena, según parece en realidad no sirve de nada, y es que han demostrado que este filtro XSS no funciona en este navegador.

Investigadores de la firma de seguridad PortSwigger ha estado analizando la seguridad del navegador de Microsoft, concretamente este filtro XSS del que tanto ha hablado la compañía indicando que era una de las mejores medidas de seguridad del navegador. Microsoft desarrolló esta medida de seguridad en 2008 para Internet Explorer, y desde entonces ha llegado a otros navegadores, como Chrome y Safari, así como a Edge cuando Microsoft lo lanzó en Windows 10.

A grandes rasgos, esta medida de seguridad permite a los desarrolladores introducir un encabezado en las páginas de manera que sean estos quienes puedan configurar el funcionamiento de este filtro XSS, encabezado que, según su valor, actuará de una forma u otra:

  • X-XSS-Protection: 0 (deshabilita la protección).
  • X-XSS-Protection: 1 (desinfecta el código y elimina los patrones utilizados en ataques XSS).
  • X-XSS-Protection: 1; mode=block (bloquea cualquier contenido si se detectan patrones XSS).

Microsoft configuró Edge por defecto para que siempre funcionara con el segundo modo (desinfectar el código cuando se sospeche de posibles ataques), ignorando las cabeceras que pudiera haber en cualquier página web, y esta medida de seguridad ha estado funcionando sin problemas, hasta hace poco.

El filtro XSS está activado en Microsoft Edge, pero no funciona

Aunque este filtro está activado en Edge por defecto, en realidad este no está funcionando como es debido, porque, tal como ha demostrado este investigador, el navegador no analiza ni filtra el código XSS oculto en una página web, ni siquiera aunque se introduzca a la fuerza la cabecera “X-XSS-Protection: 1“.

No se sabe por qué ocurre esto, ni si se trata de un error en el navegador de Microsoft o es algo que la compañía ha hecho a propósito. Lo que sí se sabe es que en Internet Explorer esta medida de seguridad sí que está activada y funciona correctamente. Además, si activamos el filtro más agresivo en la propia cabecera o en la configuración, X-XSS-Protection: 1; mode=block”, este sí funciona correctamente, pero solo ese, y la verdad es que, con él, muchas webs no funcionan correctamente.

De todas formas, hasta los propios desarrolladores de Microsoft aseguran que el filtro XSS, a día de hoy, no es tan crítico como antes, ya que el propio sistema operativo es capaz de detectar y bloquear estos ataques informáticos. Puede que Microsoft haya recapacitado y que, igual que Mozilla con Firefox, empiece a pasar un poco de esta medida de seguridad de su navegador para mejorar centrar su seguridad en otros aspectos.

Por el momento habrá que esperar a ver si esto es efectivamente un error o se trata de algo hecho a propósito.

¿Crees que Microsoft Edge es tan seguro como afirma Microsoft?

Fuente > bleepingcomputer