forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Firefox 60 появится защита от CSRF-атак"
Отправлено opennews, 26-Апр-18 11:11

Разработчики Mozilla сообщили (https://blog.mozilla.org/security/2018/04/24/same-site-cooki... о включении в кодовую базу браузера Firefox 60, выпуск которого намечен на 9 мая, поддержки Cookie-атрибута SameSite (https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-02... позволяющего web-разработчикам определять ситуации, в которых допустима передача Cookie при поступлении запроса со стороннего сайта. В настоящее время, браузер передаёт Cookie на любой запрос к сайту, для которого имеются выставленные Cookie, даже если изначально открыт другой сайт, а обращение осуществляется косвенно при помощи загрузки картинки или через iframe.

Злоумышленники пользуются данной особенностью для организации CSRF-атак (https://ru.wikipedia.org/wiki/%D0%9C%D0%... - при открытии подконтрольного атакующим ресурса с его страниц скрыто отправляется запрос на другой сайт, на котором аутентифицирован текущий пользователь, что позволяет, например, от имени пользователя выполнить команду в активном web-интерфейсе другого сайта. Атрибут SameSite позволяет блокировать подобные атаки, допуская отправку Cookie только в ответ на запросы, инициированные с сайта, с которого эти Cookie изначально были получены. Запросы, отправленные с URL, который не совпадает адресом назначения, будут приходить без выставленных для целевого сайта Cookie.

Атрибут SameSite может принимать два значения ‘strict’ или ‘lax’.
В режиме 'strict' Cookie будут удерживаться от отправки для любых видов межсайтовых запросов, включая все входящие ссылки с внешних сайтов - пользователь кликнувший на ссылку перехода будет считаться не аутентифицированным на целевом сайте, независимо от наличия активного сеанса с этим сайтом. В режиме 'lax' будут применяться более мягкие ограничения и передача Cookie будет блокироваться только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe. При переходе по ссылке в режиме 'lax' Cookie будут передаваться как раньше с сохранением активного сеанса.
URL: https://blog.mozilla.org/security/2018/04/24/same-site-cooki.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48496

Исходное сообщение
"В Firefox 60 появится защита от CSRF-атак" Отправлено opennews, 26-Апр-18 11:11
Разработчики Mozilla сообщили (https://blog.mozilla.org/security/2018/04/24/same-site-cooki... о включении в кодовую базу браузера Firefox 60, выпуск которого намечен на 9 мая, поддержки Cookie-атрибута SameSite (https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-02... позволяющего web-разработчикам определять ситуации, в которых допустима передача Cookie при поступлении запроса со стороннего сайта. В настоящее время, браузер передаёт Cookie на любой запрос к сайту, для которого имеются выставленные Cookie, даже если изначально открыт другой сайт, а обращение осуществляется косвенно при помощи загрузки картинки или через iframe. Злоумышленники пользуются данной особенностью для организации CSRF-атак (https://ru.wikipedia.org/wiki/%D0%9C%D0%... - при открытии подконтрольного атакующим ресурса с его страниц скрыто отправляется запрос на другой сайт, на котором аутентифицирован текущий пользователь, что позволяет, например, от имени пользователя выполнить команду в активном web-интерфейсе другого сайта. Атрибут SameSite позволяет блокировать подобные атаки, допуская отправку Cookie только в ответ на запросы, инициированные с сайта, с которого эти Cookie изначально были получены. Запросы, отправленные с URL, который не совпадает адресом назначения, будут приходить без выставленных для целевого сайта Cookie. Атрибут SameSite может принимать два значения ‘strict’ или ‘lax’. В режиме 'strict' Cookie будут удерживаться от отправки для любых видов межсайтовых запросов, включая все входящие ссылки с внешних сайтов - пользователь кликнувший на ссылку перехода будет считаться не аутентифицированным на целевом сайте, независимо от наличия активного сеанса с этим сайтом. В режиме 'lax' будут применяться более мягкие ограничения и передача Cookie будет блокироваться только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe. При переходе по ссылке в режиме 'lax' Cookie будут передаваться как раньше с сохранением активного сеанса. URL: https://blog.mozilla.org/security/2018/04/24/same-site-cooki.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=48496

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Разработчики Mozilla сообщили (https://blog.mozilla.org/security/2018/04/24/same-site-cookies-in-firefox-60/) 
> о включении в кодовую базу браузера Firefox 60, выпуск которого намечен 
> на 9 мая, поддержки Cookie-атрибута SameSite (https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-02#section-5.3.7), 
> позволяющего web-разработчикам определять ситуации, в которых допустима передача Cookie 
> при поступлении запроса со стороннего сайта. В настоящее время, браузер передаёт 
> Cookie на любой запрос к сайту, для которого имеются выставленные Cookie, 
> даже если изначально открыт другой сайт, а обращение осуществляется косвенно при 
> помощи загрузки картинки или через iframe.

> Злоумышленники пользуются данной особенностью для организации CSRF-атак (https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D0%B0%D1%8F_%D0%BF%D0%BE%D0%B4%D0%B4%D0%B5%D0%BB%D0%BA%D0%B0_%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1%81%D0%B0) 
> - при открытии подконтрольного атакующим ресурса с его страниц скрыто отправляется 
> запрос на другой сайт, на котором аутентифицирован текущий пользователь, что позволяет, 
> например,  от имени пользователя выполнить команду в активном web-интерфейсе другого 
> сайта. Атрибут SameSite позволяет блокировать подобные атаки, допуская отправку Cookie 
> только в ответ на запросы, инициированные с сайта, с которого эти 
> Cookie изначально были получены. Запросы, отправленные с URL, который не совпадает 
> адресом назначения, будут приходить без выставленных для целевого сайта Cookie.

> Атрибут SameSite может принимать два значения ‘strict’ или ‘lax’. 
 
> В режиме 'strict' Cookie будут удерживаться от отправки для любых видов межсайтовых 
> запросов, включая все входящие ссылки с внешних сайтов - пользователь кликнувший 
> на ссылку перехода будет считаться не аутентифицированным на целевом сайте, независимо 
> от наличия активного сеанса с этим сайтом. В режиме 'lax' будут 
> применяться более мягкие ограничения и передача Cookie будет блокироваться только для 
> межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe. 
> При переходе по ссылке в режиме 'lax' Cookie будут передаваться как 
> раньше с сохранением активного сеанса.

> URL: https://blog.mozilla.org/security/2018/04/24/same-site-cookies-in-firefox-60/ 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=48496

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру