Cross site scripting (XSS)-gaten zijn de meest voorkomende kwetsbaarheden in websites. Om deze in een vroeg stadium te achterhalen heeft Google nu een eigen botnet opgetuigd van honderden virtuele Chrome instances die samen de Google Cloud Security Scanner vormen.

Door parallel een site 'aan te vallen' kunnen in een mum van tijd alle cruciale aspecten worden getest: de HTML wordt geparsed, maar ook complexe interactieve DOM en Javascript-operaties. Op die manier worden volautomatisch de meeste fouten in 'mixed content' sites en XSS-kwetsbaarheden er uitgepikt. De 'botnetaanval' is beperkt tot 20 requests per seconde of lager, meldt Google. De scan, nog in bèta, is beschikbaar voor sites die draaien in Google's App Engine.

Fuzzing, martelkamer voor software

De methode is een variant op fuzzing, het testen van software door er met honderden, soms duizenden (virtuele) computers simultaan willekeurige flarden code en commando's op los te laten. Een dergelijk schot hagel is zelden in één keer raak, maar als je maar vaak genoeg schiet komen er vroeger of later bugs en kwetsbaarheden tevoorschijn die anders nooit zouden zijn ontdekt. Zowel Microsoft als Google zetten fuzzing op grote schaal in.