Web Tarayıcılarında Güvenlik Değişikliği Tartışması: < ve > Karakterleri Kaldırılmalı mı?
Web tarayıcılarının geleceğini yakından ilgilendiren yeni bir güvenlik tartışması gündemde. Chromium geliştirici ekibi, HTML etiketlerinde kullanılan < ve > karakterlerinin innerHTML gibi yapılar içinde nasıl ele alınması gerektiğine dair bir değişiklik planlıyor. Bu değişiklik, web’deki binlerce siteyi etkileyebilir.
mXSS Tehdidi ve Yeni Koruma Önlemleri
mXSS yani “mutation cross-site scripting”, web siteleri üzerinde kötü niyetli kod çalıştırmaya olanak tanıyan bir açık türüdür. Bu açık ilk kez 2007 yılında Japon güvenlik araştırmacısı Masato Hasegawa tarafından fark edildi. Hasegawa, bir tarayıcıda geri tırnak karakteriyle ilgili görünen basit bir hatayı araştırırken aslında yeni bir güvenlik açığı sınıfını keşfetti. mXSS, HTML içeriğinin tarayıcı tarafından yorumlanma biçiminden kaynaklanır.
Tarayıcılar, bazı karakterleri doğrudan HTML yapısının parçası gibi algılayabilir. Özellikle < ve > gibi köşeli parantezler, hem HTML etiketlerinin ayrılmaz parçasıdır hem de bazı durumlarda nitelik (attribute) değerleri içinde yer alabilir. Kodlama sırasında bu karakterlerin yanlış yorumlanması, saldırganlara kötü amaçlı içerik yerleştirme fırsatı sunabilir. Aşağıdaki gibi bir örnek, tarayıcının HTML yapısını nasıl yanlış yorumlayabileceğini gösteriyor:
<form id="outer"><div></form><form id="inner"><input>Web Uyumluluğu Endişeleri Tartışılmaya Devam Ediyor
Şubat 2025’ten bu yana Chromium hata takip sisteminde devam eden bir başlıkta, HTML nitelik değerleri işlenirken < ve > karakterlerinin otomatik olarak kaçış (escape) karakteri ile değiştirilmesi önerildi. Bu değişiklik, tarayıcının bu karakterleri HTML etiketi olarak değil, düz metin olarak görmesini sağlayacak. Böylece mXSS saldırılarına karşı koruma sağlanması amaçlanıyor.
Ancak bu koruma yöntemi, 2008 yılından beri kullanılan davranışın değiştirilmesini gerektiriyor. Tarayıcıların mevcut yapısı, bu karakterleri kaçışsız olarak yorumluyor ve içerikleri doğrudan işliyor. Geliştiriciler, bu değişikliğin birçok web sitesinde içerik görüntüleme sorunlarına yol açabileceğini belirtiyor.
Web sitelerinde < ve > karakterleri web üzerinde yaygın şekilde kullanılıyor. Eğer bu karakterlerin işlenme şekli değişirse, bazı sitelerde içerik düzgün görüntülenmeyebilir. Özellikle innerHTML veya benzeri yöntemlerle dinamik içerik oluşturan siteler risk altında. Şu an için değişikliğin kesin etkileri net değil ancak Chrome, Firefox ve Safari gibi tarayıcı ailelerinin tamamı bu durumdan etkilenebilir.
Bu nedenle geliştiriciler, yeni uygulamanın geriye dönük uyumluluğunu dikkatle değerlendiriyor. Açık kaynaklı Chromium projesinde ilgili öneri için bir pull request (kod değişiklik teklifi) sunuldu. Bu teklif, tartışma ve test sürecinin ardından kabul edilirse yeni güvenlik politikaları tarayıcıya entegre edilecek. innerHTML ve mXSS açıkları için çözüm önerileri paylaşılıyor:
- Geliştiriciler, kullanıcıdan alınan verileri doğrudan
innerHTMLiçine yerleştirmemeli. <ve>gibi karakterler her zaman uygun şekilde kodlanmalı (<,>).- Dinamik içerikler için
textContentveyacreateElementgibi daha güvenli yöntemler tercih edilmeli.
Chromium tarayıcılarında < ve > karakterlerinin kaçış karakterleri ile işlenmesi, web güvenliğini artırmak için önemli bir adım olarak öne çıkıyor. Ancak bu değişiklik, mevcut web uygulamalarında uyumsuzluklara ve görüntüleme sorunlarına yol açabilir.
