Google giải thích rằng, những lỗ hổng này bắt nguồn từ việc các ứng dụng web hiện đại vận hành sai các nền tảng web lâu đời dẫn đến rò rỉ thông tin về người dùng hoặc thông tin người đã đăng nhập trên các ứng dụng web khác.
Google ra mắt cơ sở tri thức về lỗ hổng XS-Leaks
Thứ hai, 21/12/2020 09:57
Google vừa công bố ra mắt cơ sở thông tin về các lỗ hổng làm rò rỉ thông tin từ 1 trang web này qua 1 trang web khác hay còn gọi là XS-Leaks.
Google cho biết, XS-Leaks đang thách thức cả các kỹ sư bảo mật và các nhà phát triển trình duyệt web, vì mở ra cánh cửa cho một loạt các cuộc tấn công cũng như việc triển khai các biện pháp phòng thủ toàn diện là khá phức tạp.
Trang wiki XS-Leaks mới ra mắt nhằm giúp cộng đồng bảo mật hiểu rõ hơn về những vấn đề này và cải thiện các bảo vệ. Trên thực tế, Google mời các nhà nghiên cứu bảo mật giúp mở rộng wiki (loại hình trang web mà ai cũng có thể tham gia viết nội dung, bình luận…) và chia sẻ những thông tin về các cuộc tấn công và phòng thủ mới.
Trang wiki XS-Leaks đã sẵn sàng tại địa chỉ xsleaks.dev, cung cấp thông tin về những nguyên lý dẫn đến rò rỉ thông tin giữa các trang web. Nó bao gồm các bài báo trình bày chi tiết về từng sự rò rỉ thông tin, những ảnh hưởng của nó và các kỹ thuật giảm thiểu cùng với bằng chứng chứng minh.
Wiki cũng giúp các nhà phát triển hiểu cách mà những cơ chế bảo mật trong các trình duyệt có thể giữ cho các ứng dụng của họ được bảo vệ khỏi sự rò rỉ thông tin giữa các trang web.
Google cho biết: "Mỗi cuộc tấn công được mô tả trong wiki sẽ bổ sung thêm một cái nhìn khái quát về các tính năng bảo mật có thể ngăn chặn hoặc giảm thiểu tấn công. Wiki nhắm vào việc cung cấp hướng dẫn hữu ích để hỗ trợ các nhà phát triển áp dụng các tính năng bảo mật mới của trình duyệt như Fetch Metadata Request Headers, Cross-Origin Opener Policy, Cross-Origin Resource Policy và cookies SameSite".
Google khuyến khích cộng đồng bảo mật mở rộng wiki XS-Leaks với những thông tin chi tiết về cả những kỹ thuật tấn công và phòng thủ cũng như lưu ý tài nguyên của họ có thể thúc đẩy nghiên cứu nhằm giảm thiểu các mối đe dọa bảo mật web.