XSS漏洞的责任在哪里？

Question

我是工作流 (在线外线/笔记记录工具)的忠实用户，我安装了Chrome扩展程序'编码器的工作流程'，它在便条中格式化文本。

我发现我的一个注释触发了Javascript (因为它是XSS (<script>document.location="http://google.com";</script>)的一个示例)。当我禁用扩展时，漏洞就停止了。

我向Workflowy和扩展创建者发送了便条，但我很好奇，谁在技术上负责？Workflowy，扩展创建者，还是Chrome？对于这个问题，我想不出一个明确的答案。

如果没有明确的答案，可能会对web开发人员产生更广泛的影响。

Answer 1

这个错误几乎可以肯定是Workflowy扩展的错误。扩展开发人员有责任确保它们的扩展是安全的，并避免在扩展中引入类似XSS漏洞的错误。

XSS漏洞在浏览器扩展中很常见。扩展开发人员很容易搞砸并引入XSS漏洞，而且扩展开发人员通常不主要关注安全性，也可能不太了解安全问题，因此浏览器扩展中的安全漏洞很常见。

实际上，Chrome在开发针对这些漏洞的缓解措施方面处于领先地位。虽然最终责任在于扩展开发人员，但Chrome 最近引入了强大的缓解功能，使新扩展中的XSS漏洞更不可能出现.。这些缓解依赖于使用内容安全策略限制扩展，从而帮助防止XSS漏洞。

由于向后兼容性的原因，新的限制只适用于新的扩展。这些新防御措施将需要一段时间才能得到全面实施。尽管如此，这是一个伟大的发展。它将真正帮助保护用户。我希望其他浏览器也能效仿。

关于这一主题的更多信息，下面是一篇关于这一主题的最新研究论文：

• 谷歌Chrome扩展安全体系结构的评价。尼古拉斯·卡里尼、艾德里安·波特和大卫·瓦格纳。Usenix安全，2012年。

论文中的一些样本发现：

• 对100个随机选择的Chrome扩展的分析发现，40%的Chrome扩展至少存在一个安全漏洞。
• 同样的分析还发现Chrome的新防御系统可以消除94%最严重的漏洞。

还请参见一篇总结论文发现的博客文章和又一次跟进。