The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

26.04.2018 10:42  В Firefox 60 появится защита от CSRF-атак

Разработчики Mozilla сообщили о включении в кодовую базу браузера Firefox 60, выпуск которого намечен на 9 мая, поддержки Cookie-атрибута SameSite, позволяющего web-разработчикам определять ситуации, в которых допустима передача Cookie при поступлении запроса со стороннего сайта. В настоящее время, браузер передаёт Cookie на любой запрос к сайту, для которого имеются выставленные Cookie, даже если изначально открыт другой сайт, а обращение осуществляется косвенно при помощи загрузки картинки или через iframe.

Злоумышленники пользуются данной особенностью для организации CSRF-атак - при открытии подконтрольного атакующим ресурса с его страниц скрыто отправляется запрос на другой сайт, на котором аутентифицирован текущий пользователь, что позволяет, например, от имени пользователя выполнить команду в активном web-интерфейсе другого сайта. Атрибут SameSite позволяет блокировать подобные атаки, допуская отправку Cookie только в ответ на запросы, инициированные с сайта, с которого эти Cookie изначально были получены. Запросы, отправленные с URL, который не совпадает адресом назначения, будут приходить без выставленных для целевого сайта Cookie.

Атрибут SameSite может принимать два значения ‘strict’ или ‘lax’. В режиме 'strict' Cookie будут удерживаться от отправки для любых видов межсайтовых запросов, включая все входящие ссылки с внешних сайтов - пользователь кликнувший на ссылку перехода будет считаться не аутентифицированным на целевом сайте, независимо от наличия активного сеанса с этим сайтом. В режиме 'lax' будут применяться более мягкие ограничения и передача Cookie будет блокироваться только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe. При переходе по ссылке в режиме 'lax' Cookie будут передаваться как раньше с сохранением активного сеанса.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: План развития функциональности Firefox на 2018 год
  3. OpenNews: Выпуск сервера web-конференций Apache OpenMeetings 3.3 с устранением 11 уязвимостей
  4. OpenNews: Серия уязвимостей и инженерный пароль в беспроводных точках доступа Moxa
  5. OpenNews: Система защищённых коммуникаций Nomx оказалась примером халатного отношения к безопасности
  6. OpenNews: Поучительный опыт информировния банков об уязвимостях
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: csrf, firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 11:11, 26/04/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Наконец-то. Теперь сайты со временем откажутся от костыля в виде проверки рефереров и их спуфинг не будет потенциально ухудшать безопасность.
     
     
  • 2.5, Xasd (ok), 11:41, 26/04/2018 [^] [ответить]    [к модератору]
  • +/
    > Наконец-то. Теперь сайты со временем откажутся от костыля в виде проверки рефереров
    > и их спуфинг не будет потенциально ухудшать безопасность.

    вообще проверяют CSRFToken а не referrer

     
     
  • 3.6, Аноним (-), 11:42, 26/04/2018 [^] [ответить]    [к модератору]
  • +1 +/
    Вообще-то не везде. Для многих было нормой смотреть на реферер. Если там своё, то значит норм. А о спуфинге не думали.
     
     
  • 4.10, Аноним (-), 12:08, 26/04/2018 [^] [ответить]    [к модератору]
  • +/
    Так работает панель управления у OVH.
     
  • 3.8, Аноним (-), 11:58, 26/04/2018 [^] [ответить]    [к модератору]
  • +24 +/
    Сначала понапридумывают разных мутных технологий, а потом героически борются с последствиями - это все что вам нужно знать про современное ИТ.
     
     
  • 4.20, dq0s4y71 (ok), 13:24, 26/04/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    А потом приходит школота, которая сама ни одной технологии ещё не изобрела, и начинает рассказывать, какие мутные были технологии.
     
     
  • 5.24, Аноним (-), 13:48, 26/04/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    А потом появляются умельцы которые создают проблемы которые не решаются существующими инструментами и сооружают для них набор костылей. Например, "Я умею пользоваться стамеской и молотком и поэтому когда я буду у дантиста, я их возьму с собой и заставлю врача ими пользоваться". Или, применю-ка я в протоколе изначально созданном для выдачи текста, новые модные слои абстракций для создания у пользователя иллюзии, о том что он пользуется десктопным приложением. Му-ха-ха!
     
  • 4.33, noise_poise (?), 17:41, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Web-Monkeys, sir!
     
  • 4.44, imprtat (ok), 23:03, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Человек ищет решение одной проблемы создавая другую, так было всегда, и это относится к любой сфере.
     
  • 4.48, Аноним (-), 03:25, 27/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Cookie появились в 1995 году. С тех пор csrf атака уже была возможно, просто до неё сильно не сразу додумались.

    Причём тут современное ИТ?

     
     
  • 5.54, Jh (?), 11:48, 28/04/2018 [^] [ответить]    [к модератору]  
  • +/
    так оно любит тянуть древность, ради совместимости
     
  • 1.2, Аноним (-), 11:12, 26/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Firefox радует =)
    https://www.opennet.ru/opennews/art.shtml?num=48312
     
     
  • 2.3, Анонимомус (?), 11:30, 26/04/2018 [^] [ответить]     [к модератору]  
  • +/
    Еще в 60 версии появится возможность подстановки прокси по каждому запросу, можн... весь текст скрыт [показать]
     
     
  • 3.12, Аноним (-), 12:15, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    По url станет возможно определять? Сейчас вебэксты только по доменам могут.
     
     
  • 4.15, Анонимомус (?), 12:39, 26/04/2018 [^] [ответить]     [к модератору]  
  • +/
    Можно таб определять, рабочий прототип background js var proxyByContainer ... весь текст скрыт [показать]
     
  • 1.4, Xasd (ok), 11:37, 26/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    отличная попытка Мозилка но опять к сожалению *промах* !

    такого рода защита не работает в случае когда она "поумолчанию отключена"! (пора бы уже было понять -- после введения такой кучи так называемых "защит" -- которые так и не привели к результату)

    многие CSRF уязвимости существуют не потому что авторы-забагованных-сайтов якобы где-то явно накосячили -- а именно потому-что они даже *не_знали* что поумолчанию CSRF требуют закрывать себя (если не закрыл -- то значит CSRF-дары есть).

     
     
  • 2.7, КО (?), 11:46, 26/04/2018 [^] [ответить]     [к модератору]  
  • +/
    Смотря по чему стреляли Описанная в рекламной брошюре галиматья с авторизацией ... весь текст скрыт [показать]
     
     
  • 3.9, Xasd (ok), 11:58, 26/04/2018 [^] [ответить]     [к модератору]  
  • +/
    во первых -- что сломается -- починят в течении дня владельцы сайтов во вторы... весь текст скрыт [показать]
     
     
  • 4.13, Аноним (-), 12:23, 26/04/2018 [^] [ответить]     [к модератору]  
  • +/
    Потому что юзеры тупые, не надо такое добавлять Посмотри в соседнюю новость со ... весь текст скрыт [показать]
     
  • 4.39, КО (?), 19:45, 26/04/2018 [^] [ответить]     [к модератору]  
  • +/
    Вы не поняли, там ломается принцип Смотрю адрес А, куки на адрес Б сервер авто... весь текст скрыт [показать]
     
  • 2.16, Аноним (-), 12:47, 26/04/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Поругали Мозилка и пожалели авторы-забагованных-сайтов Или Я неправильно Ва... весь текст скрыт [показать]
     
     
  • 3.22, Аноним (-), 13:30, 26/04/2018 [^] [ответить]     [к модератору]  
  • +/
    Не совсем тоже самое, но очень похоже, да Просто властьимущие будут с нас бабки... весь текст скрыт [показать]
     
  • 1.11, svsd_val (ok), 12:08, 26/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –5 +/
    А когда они победят меморилики ? Стоит оставить его с 15ю открытыми вкладками, как он за день два выедает 6гб ОЗУ!
     
     
  • 2.14, Вы забыли заполнить поле Name (?), 12:25, 26/04/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Да вы уже достали под каждой новостью про ff писать про нехватку ресурсов. Может проблема в открытых сайтах? В голову не приходило, что и в js бывают утечки памяти?
     
     
  • 3.18, Полее (?), 12:55, 26/04/2018 [^] [ответить]     [к модератору]  
  • +/
    Увы, это правда - утечки памяти огромные Да, сейчас много пофиксили, да и если ... весь текст скрыт [показать]
     
  • 3.36, svsd_val (ok), 18:43, 26/04/2018 [^] [ответить]     [к модератору]  
  • +/
    Проверял, никаких медиа не открыто было, и всё равно он сожрал Теперь по поводу... весь текст скрыт [показать]
     
  • 3.41, Ordu (ok), 20:58, 26/04/2018 [^] [ответить]     [к модератору]  
  • +/
    Не, фф отжирает ресурсы, реально Раз в две недели его приходится перезапускать,... весь текст скрыт [показать]
     
  • 2.19, th3m3 (ok), 12:55, 26/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Никогда не было такой проблемы. Хоть 100 вкладок на целый день оставляй.
     
     
  • 3.23, Аноним (-), 13:33, 26/04/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    а мнения хакиров, отключивших многопроцессность, тут не спрашивали
     
     
  • 4.28, th3m3 (ok), 16:52, 26/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Всё включено. Не было как без многопроцессности, так и с ней. Всем доволен.
     
     
  • 5.37, svsd_val (ok), 18:46, 26/04/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Как долго ФФ не выключается ?? 4...?? 8 часов ??
    Если хочешь пруфы запусти на 10ти открытых вкладках, на достаточно простых сайтах, оставь на несколько дней, получи пруфы, либо опровергни..
     
     
  • 6.43, th3m3 (ok), 21:11, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Часов 12 и больше. На ночь вырубаю ноут.
     
  • 3.35, svsd_val (ok), 18:40, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    А ты проверь, оставь на несколько дней, а уже потом говори.
     
     
  • 4.45, GG (ok), 01:35, 27/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    У меня второй месяц висит запущенный с тремя десятками активных вкладок.
    Проблем никаких, в отличие от хромиума, дохнущего от пяти вкладок через пару дней.

    Просто если какой-то рукожoп очень хочет помайнить что-нибудь на яваскрипте — ФФ ему не запрещает.
    Но это проблемы рукожoпия и посещения гoвносайтов, а не ФФ.

     
     
  • 5.51, svsd_val (ok), 04:31, 27/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Вполне вероятно, попробую отрубить JS посмотрю, как на тех же вкладках без него будет жить...
     
  • 2.21, Аноним (-), 13:27, 26/04/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    А вот вам и урок - не ставить свежую мозиллу, покуда не протестируют. Лучше ESR пользоваться.
     
  • 2.25, llolik (ok), 14:29, 26/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    https://imgur.com/iOd8KJW
    Firefox открыт третий день компьютер не выключался (ночами стоял на ждущем), FF плотно используется. Где ~6Гб? Может они при каких-то определённых условиях утекают?
     
     
  • 3.27, Аноним (-), 16:41, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    > https://imgur.com/iOd8KJW

    А что это у вас RSS странно складывается: 186+222+234+(непонятно сколько ещё процессов Экономного Браузера не попало на скриншот)=426?

     
     
  • 4.29, llolik (ok), 16:56, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    >> https://imgur.com/iOd8KJW
    > А что это у вас RSS странно складывается: 186+222+234+(непонятно сколько ещё процессов
    > Экономного Браузера не попало на скриншот)=426?

    У меня три процесса стоит (пруф. https://imgur.com/eHzGcEx) соответственно процессов тоже 3.
    ЗЫ. Предвосхищая, у меня не всегда три вкладки открыто. Это уже работа на сегодня закончилась :)


     
  • 3.34, Аноним (-), 17:47, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    > Может они при каких-то определённых условиях утекают?

    Когда руки растут из (_о_) и КГБ/ФБР (анти?)вирусы стоят.

     
     
  • 4.40, Аноним (-), 20:51, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    > ГБ/ФБР (анти?)вирусы стоят

    немодно, ненадежно. достаточно запуска программ типа ff.

     
  • 3.38, svsd_val (ok), 19:05, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    > https://imgur.com/iOd8KJW
    > Firefox открыт третий день компьютер не выключался (ночами стоял на ждущем), FF
    > плотно используется. Где ~6Гб? Может они при каких-то определённых условиях утекают?

    Не вопрос, выполни и скинь в студию?:
    ps -ewo rss,pid,lstart,euser,etime,time,cmd --sort %mem | grep -v grep | grep -i firefox | awk '{printf $1/1024 "MB"; $1=""; print }'


    >Может они при каких-то определённых условиях утекают?

    Вероятность есть, на работе волею судьбы пользуемся OTRS, вполне может быть что и она причина, проверю, до этого ставили одни и те же влкадки, проверяли на двух разных ОС, ...


    Вот скрин:
    https://imgur.com/a/j1aWxFr
    Как видно за 14 часов уже не хило так отхватил, 2.5гб.

     
     
  • 4.46, GG (ok), 01:38, 27/04/2018 [^] [ответить]    [к модератору]  
  • +/
    А у меня за два месяца всего 550 мегабайт.
    Чини руки.
     
     
  • 5.49, svsd_val (ok), 04:06, 27/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Причём тут руки О_о ? Или Вы хотите сказать я самолично гадил в коде ФФ и пересобирал Его, для каких то непонятных целей ?
    Зная аудиторию могу сказать что есть некоторые неадекваты которые могут говорить что всё что угодно, пруфы скинь:
    ps -ewo rss,pid,lstart,euser,etime,time,cmd --sort %mem | grep -v grep | grep -i firefox | awk '{printf $1/1024 "MB"; $1=""; print }'  
     
  • 4.52, llolik (ok), 08:45, 27/04/2018 [^] [ответить]    [к модератору]  
  • +/
    > Не вопрос, выполни и скинь в студию?:

    Для чистоты эксперимента, машину перезагрузил, и запустил FF начисто. Открыл несколько вкладок и закинул на дальний рабочий стол, до которого всё равно не добираюсь (сделано для того, чтобы процессы не умирали). Работать буду как обычно, результаты за сутки, если ничего экстраординарного не случится (ноут не повиснет, проще говоря), завтра напишу в этот же тред.
    Со старта результат https://pastebin.com/Zr8bV4ry

    > Как видно за 14 часов уже не хило так отхватил, 2.5гб.

    Если не секрет, сколько памяти стоит на машинах? У меня есть подозрение, не подкреплённое, впрочем, ничем, чисто интуитивное, что FF каким-то образом берёт память в зависимости от общего объёма. У меня 8Гб и я выше 2,5-3Гб суммарно не видел. Хотя не исключаю, что по результатам этого эксперимента увижу :)

     
  • 4.53, llolik (ok), 10:13, 28/04/2018 [^] [ответить]    [к модератору]  
  • +/
    > Не вопрос, выполни и скинь в студию?:

    Результат через сутки использования: https://pastebin.com/JcStW4VB - суммарно ~1.4Gb
    Результат после принудительного запуска GC и CC: https://pastebin.com/H6qKAVj4 - суммарно ~1.2Gb
    Расход от стандартного повседневного не очень отличается.

    В принципе, у FF есть about:memory (выглядит вот так https://imgur.com/dhiTHXx), в котором можно смотреть на что расходуется память, делать снапшоты (и логи GC и СС) и сравнивать их. Может попробуете отследить, что так радикально ест память.

     
  • 3.42, Ordu (ok), 21:00, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    > https://imgur.com/iOd8KJW
    > Firefox открыт третий день компьютер не выключался (ночами стоял на ждущем), FF
    > плотно используется. Где ~6Гб? Может они при каких-то определённых условиях утекают?

    Ну три дня любой дурак сможет. Ты попробуй его не закрывать месяц.

     
     
  • 4.47, GG (ok), 01:39, 27/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Второй месяц не закрываю, 550 мегабайт.

    До этого полгода висел, проблем не наблюдалось.

     
     
  • 5.50, svsd_val (ok), 04:07, 27/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Скинь пруфы ?
    ps -ewo rss,pid,lstart,euser,etime,time,cmd --sort %mem | grep -v grep | grep -i firefox | awk '{printf $1/1024 "MB"; $1=""; print }'
     
  • 2.31, Shevchuk (ok), 17:23, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Не испытываю подобных проблем, но если нет необходимости в постоянной работе этих вкладок всё время, то:

    Auto tab discard: https://addons.mozilla.org/ru/firefox/addon/auto-tab-discard/

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor