Mehr Sicherheit: IE 8 soll XSS-Angriffe blockieren

In der Entwicklungsabteilung für den Internet Explorer 8 arbeitet man intensiv an einem Filtersystem, das Cross-Site Scripting (XSS)-Angriffe verhindern soll. Gleichzeitig will man die Performance dadurch nicht zu stark schwächen. Bei XSS-Angriffen fügt ein Hacker über Formulare oder die URL fremde Inhalte in eine Web-Anwendung ein. Wird die Eingabe Server-seitig nicht ausreichend geprüft, können andere Nutzer anschließend Seiten aufrufen, in die eine Schadroutine in JavaScript-Code o.ä. eingebettet wurde. Das ermöglicht es dem Angreifer beispielsweise Zugangsdaten zu entwenden.

Ein Filter soll solche Codes zukünftig erkennen und ihre Ausführung auf dem Rechner eines Anwenders blockieren. "Es ist eine Herausforderung, die Balance zwischen der Entschärfung von XSS und den Anforderungen an Kompatibilität, Sicherheit und Performance zu finden", so David Ross, Security Software Engineer bei Microsoft.

Der XSS-Filter darf beispielsweise nicht zu lange brauchen, den Quellcode einer Web-Seite zu überprüfen oder gar gewünschte Effekte mit Client-seitigen Script-Sprachen unterbinden. Die Erweiterung soll daher erst aktiv werden, wenn Seiten geladen werden, die potenziell unsichere Objekte enthalten können. Erst wenn beispielsweise neben sicheren Inhalten auch JavaScript o.ä. enthalten ist, beginnt eine tiefergehende Prüfung.

Der zuständige Administrator kann den Filter außerdem für bestimmte Zonen deaktivieren. Gibt es im Intranet eines Unternehmens beispielsweise ausreichend andere Schutzmaßnahmen, müssen dessen interne Seiten nicht geprüft werden. Alarm schlägt das Tool allerdings, wenn durch den HTML-Code eine Script-Datei von einem Server angefordert wird, der nicht mit der Quelle der Web-Seite übereinstimmt.

In diesem Moment wird eine heuristische Analyse des hinzugeladenen Codes gestartet. Durch einen Vergleich mit den zuvor gesendeten URL- und POST-Informationen sollen potenzielle XSS-Angriffe jetzt erkannt werden. Der Nutzer wird dann über den Fund informiert.