Ostatnie wydarzenia związane z Facebookiem oraz cały czas pojawiające się doniesienia o atakach na popularne strony internetowe powodują, że nie tylko użytkownicy, ale i producenci narzędzi powiązanych z dostępem do internetu poważnie myślą o zabezpieczeniach. Mozilla dokopała Facebookowi wprowadzając dodatki przeciwko śledzeniu w serwisie, a Microsoft... wdraża standard SameSite Cookies w Microsoft Edge. Na razie testowo, ale wszystko zmierza ku temu, by rozwiązanie było dostępne dla wszystkich.
Wprowadzenie standardu SameCookie w Microsoft Edge ma na celu zabezpieczenie użytkowników przed atakami cross-site request forgery. Dla przykładu: dowolna strona internetowa wysyłająca żądania z atrybutem "cross-origin" do innych domen powodowała, że jako cześć żądania przeglądarka wysyłała pliki cookie tej drugiej domeny. W niektórych przypadkach jest to pożądane np. do zachowania stanu zalogowania użytkownika - niestety w niektórych przypadkach taki mechanizm wykorzystywano do wspomnianych wyżej ataków.
Teraz, gdy Microsoft wprowadza do Edge SameSite, strony mogą w wybranych przez siebie plikach cookies ustawić atrybut w nagłówki Set-Cookie lub za pomocą JavaScriptu (document-cookie) zapobiegając wysyłaniu ciasteczek w żądaniach cross-site. Możliwe jest też ustawienie tego globalnie, dla wszystkich wykorzystywanych na stronie ciasteczek. Od decyzji osób odpowiedzialnych za bezpieczeństwo strony oraz programistów zależy jaka wartość odnosząca się do tego zachowania zostanie ustawiona: "strict" lub "lax".
W skrócie, jeżeli użytkownik będzie przenosić się do strony, w której jest zalogowany z witryny, która zamierza wykorzystać żądania cross-site, przeglądarka internetowa nie wyśle plików cookie serwisu, do którego prowadzi odnośnik. W wyżej podanym przykładzie (dotyczącym zalogowania), użytkownik nie odczuje żadnych większych zmian. Widoczne będzie tylko to, że jedynie pozornie nie będzie zalogowany do znanej przez siebie usługi po kliknięciu odnośnika. Wystarczy jedynie, że przejdzie dalej w witrynie i zapamiętany przez przeglądarkę stan zostanie odtworzony. Natomiast witryna, która odesłała użytkownika nie otrzyma żadnych plików cookie, co podniesie bezpieczeństwo połączenia.
Microsoft wprowadza więc dobrą zmianę w Edge. Jednak nie wszyscy będą korzystać z tego standardu
Niewiele jest przeglądarek, które obsługują SameSite Cookies. Firefox od wersji 60 poprawnie rozpoznaje ten standard. Chrome również zdaje się honorować jego obecność na stronach. Niepewne jest zachowanie innych programów do przeglądania internetu - w tej materii występują dosyć sprzeczne informacje. Jednak największym problemem nie są przeglądarki, a... strony internetowe. Jeżeli deweloperzy nie wdrożą tych zmian na zarządzanych przez siebie stronach, przeglądarki nie będą w stanie obronić użytkowników przed atakami CSRF. Microsoft zachęca więc twórców stron do tego, aby wprowadzać te zmiany albo na poziomie nagłówków dotyczących plików cookies albo w JS.
Microsoft Edge w Windows 10 (build 17672) już obsługuje ten standard. Jak obiecuje Microsoft, jego pełna obsługa nie tylko w tej przeglądarce, ale i Internet Explorer 11 powinna się pojawić już wkrótce, jeszcze w ramach obecnej linii uaktualnienia systemu Windows.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu