The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

26.04.2018 10:42  В Firefox 60 появится защита от CSRF-атак

Разработчики Mozilla сообщили о включении в кодовую базу браузера Firefox 60, выпуск которого намечен на 9 мая, поддержки Cookie-атрибута SameSite, позволяющего web-разработчикам определять ситуации, в которых допустима передача Cookie при поступлении запроса со стороннего сайта. В настоящее время, браузер передаёт Cookie на любой запрос к сайту, для которого имеются выставленные Cookie, даже если изначально открыт другой сайт, а обращение осуществляется косвенно при помощи загрузки картинки или через iframe.

Злоумышленники пользуются данной особенностью для организации CSRF-атак - при открытии подконтрольного атакующим ресурса с его страниц скрыто отправляется запрос на другой сайт, на котором аутентифицирован текущий пользователь, что позволяет, например, от имени пользователя выполнить команду в активном web-интерфейсе другого сайта. Атрибут SameSite позволяет блокировать подобные атаки, допуская отправку Cookie только в ответ на запросы, инициированные с сайта, с которого эти Cookie изначально были получены. Запросы, отправленные с URL, который не совпадает адресом назначения, будут приходить без выставленных для целевого сайта Cookie.

Атрибут SameSite может принимать два значения ‘strict’ или ‘lax’. В режиме 'strict' Cookie будут удерживаться от отправки для любых видов межсайтовых запросов, включая все входящие ссылки с внешних сайтов - пользователь кликнувший на ссылку перехода будет считаться не аутентифицированным на целевом сайте, независимо от наличия активного сеанса с этим сайтом. В режиме 'lax' будут применяться более мягкие ограничения и передача Cookie будет блокироваться только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe. При переходе по ссылке в режиме 'lax' Cookie будут передаваться как раньше с сохранением активного сеанса.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: План развития функциональности Firefox на 2018 год
  3. OpenNews: Выпуск сервера web-конференций Apache OpenMeetings 3.3 с устранением 11 уязвимостей
  4. OpenNews: Серия уязвимостей и инженерный пароль в беспроводных точках доступа Moxa
  5. OpenNews: Система защищённых коммуникаций Nomx оказалась примером халатного отношения к безопасности
  6. OpenNews: Поучительный опыт информировния банков об уязвимостях
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: csrf, firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:11, 26/04/2018 [ответить] [смотреть все]     [к модератору]
  • +/
    Наконец-то Теперь сайты со временем откажутся от костыля в виде проверки рефере... весь текст скрыт [показать]
     
     
  • 2.5, Xasd, 11:41, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    вообще проверяют CSRFToken а не referrer... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.6, Аноним, 11:42, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Вообще-то не везде Для многих было нормой смотреть на реферер Если там своё, т... весь текст скрыт [показать]
     
     
  • 4.10, Аноним, 12:08, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Так работает панель управления у OVH.
     
  • 3.8, Аноним, 11:58, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +24 +/
    Сначала понапридумывают разных мутных технологий, а потом героически борются с последствиями - это все что вам нужно знать про современное ИТ.
     
     
  • 4.20, dq0s4y71, 13:24, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    А потом приходит школота, которая сама ни одной технологии ещё не изобрела, и на... весь текст скрыт [показать]
     
     
  • 5.24, Аноним, 13:48, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    А потом появляются умельцы которые создают проблемы которые не решаются существующими инструментами и сооружают для них набор костылей. Например, "Я умею пользоваться стамеской и молотком и поэтому когда я буду у дантиста, я их возьму с собой и заставлю врача ими пользоваться". Или, применю-ка я в протоколе изначально созданном для выдачи текста, новые модные слои абстракций для создания у пользователя иллюзии, о том что он пользуется десктопным приложением. Му-ха-ха!
     
  • 4.33, noise_poise, 17:41, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Web-Monkeys, sir!
     
  • 4.44, imprtat, 23:03, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Человек ищет решение одной проблемы создавая другую, так было всегда, и это относится к любой сфере.
     
  • 4.48, Аноним, 03:25, 27/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Cookie появились в 1995 году С тех пор csrf атака уже была возможно, просто до ... весь текст скрыт [показать]
     
     
  • 5.54, Jh, 11:48, 28/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    так оно любит тянуть древность, ради совместимости
     
  • 1.2, Аноним, 11:12, 26/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Firefox радует =)
    https://www.opennet.ru/opennews/art.shtml?num=48312
     
     
  • 2.3, Анонимомус, 11:30, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Еще в 60 версии появится возможность подстановки прокси по каждому запросу, можн... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, Аноним, 12:15, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    По url станет возможно определять? Сейчас вебэксты только по доменам могут.
     
     
  • 4.15, Анонимомус, 12:39, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Можно таб определять, рабочий прототип background js var proxyByContainer ... весь текст скрыт [показать]
     
  • 1.4, Xasd, 11:37, 26/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    отличная попытка Мозилка но опять к сожалению *промах* !

    такого рода защита не работает в случае когда она "поумолчанию отключена"! (пора бы уже было понять -- после введения такой кучи так называемых "защит" -- которые так и не привели к результату)

    многие CSRF уязвимости существуют не потому что авторы-забагованных-сайтов якобы где-то явно накосячили -- а именно потому-что они даже *не_знали* что поумолчанию CSRF требуют закрывать себя (если не закрыл -- то значит CSRF-дары есть).

     
     
  • 2.7, КО, 11:46, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Смотря по чему стреляли Описанная в рекламной брошюре галиматья с авторизацией ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, Xasd, 11:58, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    во первых -- что сломается -- починят в течении дня владельцы сайтов во вторы... весь текст скрыт [показать]
     
     
  • 4.13, Аноним, 12:23, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Потому что юзеры тупые, не надо такое добавлять Посмотри в соседнюю новость со ... весь текст скрыт [показать]
     
  • 4.39, КО, 19:45, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >во первых -- что сломается -- починят в течении дня

    Вы не поняли, там ломается принцип. Смотрю адрес А, куки на адрес Б (сервер авторизации) не отправляются -> нет никакой авторизации на куках. Альтернатива, если я ничего не путаю - кроссдомайные скрипты. :)

     
  • 2.16, Аноним, 12:47, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Поругали Мозилка и пожалели авторы-забагованных-сайтов Или Я неправильно Ва... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, Аноним, 13:30, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не совсем тоже самое, но очень похоже, да Просто властьимущие будут с нас бабки... весь текст скрыт [показать]
     
  • 1.11, svsd_val, 12:08, 26/04/2018 [ответить] [смотреть все]     [к модератору]  
  • –5 +/
    А когда они победят меморилики Стоит оставить его с 15ю открытыми вкладками, к... весь текст скрыт [показать]
     
     
  • 2.14, Вы забыли заполнить поле Name, 12:25, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Да вы уже достали под каждой новостью про ff писать про нехватку ресурсов Может... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, Полее, 12:55, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Увы, это правда - утечки памяти огромные Да, сейчас много пофиксили, да и если ... весь текст скрыт [показать]
     
  • 3.36, svsd_val, 18:43, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Проверял, никаких медиа не открыто было, и всё равно он сожрал.
    Теперь по поводу JS, разве браузер не должен следить за этим ? О_о. И что это за браузер который нужно перезапускать раз в 1-2 дня что бы не превышал планок 6гб озу ? Если нужен список открытых сайтов могу выложить, убедитесь что медиа там нет.
     
  • 3.41, Ordu, 20:58, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Не, фф отжирает ресурсы, реально. Раз в две недели его приходится перезапускать, иначе оперативка забита файрфоксом, своп тоже забит файрфоксом. При попытке скомпилировать что-нибудь, система встаёт колом. Рестарт файрфокса спасает ситуацию.
     
  • 2.19, th3m3, 12:55, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Никогда не было такой проблемы. Хоть 100 вкладок на целый день оставляй.
     
     
  • 3.23, Аноним, 13:33, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    а мнения хакиров, отключивших многопроцессность, тут не спрашивали
     
     
  • 4.28, th3m3, 16:52, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Всё включено. Не было как без многопроцессности, так и с ней. Всем доволен.
     
     
  • 5.37, svsd_val, 18:46, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Как долго ФФ не выключается ?? 4...?? 8 часов ??
    Если хочешь пруфы запусти на 10ти открытых вкладках, на достаточно простых сайтах, оставь на несколько дней, получи пруфы, либо опровергни..
     
     
  • 6.43, th3m3, 21:11, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Часов 12 и больше. На ночь вырубаю ноут.
     
  • 3.35, svsd_val, 18:40, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А ты проверь, оставь на несколько дней, а уже потом говори.
     
     
  • 4.45, GG, 01:35, 27/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    У меня второй месяц висит запущенный с тремя десятками активных вкладок.
    Проблем никаких, в отличие от хромиума, дохнущего от пяти вкладок через пару дней.

    Просто если какой-то рукожoп очень хочет помайнить что-нибудь на яваскрипте — ФФ ему не запрещает.
    Но это проблемы рукожoпия и посещения гoвносайтов, а не ФФ.

     
     
  • 5.51, svsd_val, 04:31, 27/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Вполне вероятно, попробую отрубить JS посмотрю, как на тех же вкладках без него будет жить...
     
  • 2.21, Аноним, 13:27, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    А вот вам и урок - не ставить свежую мозиллу, покуда не протестируют Лучше ESR ... весь текст скрыт [показать] [показать ветку]
     
  • 2.25, llolik, 14:29, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    https://imgur.com/iOd8KJW
    Firefox открыт третий день компьютер не выключался (ночами стоял на ждущем), FF плотно используется. Где ~6Гб? Может они при каких-то определённых условиях утекают?
     
     
  • 3.27, Аноним, 16:41, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А что это у вас RSS странно складывается 186 222 234 непонятно сколько ещё про... весь текст скрыт [показать]
     
     
  • 4.29, llolik, 16:56, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >> https://imgur.com/iOd8KJW
    > А что это у вас RSS странно складывается: 186+222+234+(непонятно сколько ещё процессов
    > Экономного Браузера не попало на скриншот)=426?

    У меня три процесса стоит (пруф. https://imgur.com/eHzGcEx) соответственно процессов тоже 3.
    ЗЫ. Предвосхищая, у меня не всегда три вкладки открыто. Это уже работа на сегодня закончилась :)


     
  • 3.34, Аноним, 17:47, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Когда руки растут из _о_ и КГБ ФБР анти вирусы стоят ... весь текст скрыт [показать]
     
     
  • 4.40, Аноним, 20:51, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    немодно, ненадежно достаточно запуска программ типа ff ... весь текст скрыт [показать]
     
  • 3.38, svsd_val, 19:05, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > https://imgur.com/iOd8KJW
    > Firefox открыт третий день компьютер не выключался (ночами стоял на ждущем), FF
    > плотно используется. Где ~6Гб? Может они при каких-то определённых условиях утекают?

    Не вопрос, выполни и скинь в студию?:
    ps -ewo rss,pid,lstart,euser,etime,time,cmd --sort %mem | grep -v grep | grep -i firefox | awk '{printf $1/1024 "MB"; $1=""; print }'


    >Может они при каких-то определённых условиях утекают?

    Вероятность есть, на работе волею судьбы пользуемся OTRS, вполне может быть что и она причина, проверю, до этого ставили одни и те же влкадки, проверяли на двух разных ОС, ...


    Вот скрин:
    https://imgur.com/a/j1aWxFr
    Как видно за 14 часов уже не хило так отхватил, 2.5гб.

     
     
  • 4.46, GG, 01:38, 27/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А у меня за два месяца всего 550 мегабайт.
    Чини руки.
     
     
  • 5.49, svsd_val, 04:06, 27/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Причём тут руки О_о ? Или Вы хотите сказать я самолично гадил в коде ФФ и пересобирал Его, для каких то непонятных целей ?
    Зная аудиторию могу сказать что есть некоторые неадекваты которые могут говорить что всё что угодно, пруфы скинь:
    ps -ewo rss,pid,lstart,euser,etime,time,cmd --sort %mem | grep -v grep | grep -i firefox | awk '{printf $1/1024 "MB"; $1=""; print }'  
     
  • 4.52, llolik, 08:45, 27/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Не вопрос, выполни и скинь в студию?:

    Для чистоты эксперимента, машину перезагрузил, и запустил FF начисто. Открыл несколько вкладок и закинул на дальний рабочий стол, до которого всё равно не добираюсь (сделано для того, чтобы процессы не умирали). Работать буду как обычно, результаты за сутки, если ничего экстраординарного не случится (ноут не повиснет, проще говоря), завтра напишу в этот же тред.
    Со старта результат https://pastebin.com/Zr8bV4ry

    > Как видно за 14 часов уже не хило так отхватил, 2.5гб.

    Если не секрет, сколько памяти стоит на машинах? У меня есть подозрение, не подкреплённое, впрочем, ничем, чисто интуитивное, что FF каким-то образом берёт память в зависимости от общего объёма. У меня 8Гб и я выше 2,5-3Гб суммарно не видел. Хотя не исключаю, что по результатам этого эксперимента увижу :)

     
  • 4.53, llolik, 10:13, 28/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Не вопрос, выполни и скинь в студию?:

    Результат через сутки использования: https://pastebin.com/JcStW4VB - суммарно ~1.4Gb
    Результат после принудительного запуска GC и CC: https://pastebin.com/H6qKAVj4 - суммарно ~1.2Gb
    Расход от стандартного повседневного не очень отличается.

    В принципе, у FF есть about:memory (выглядит вот так https://imgur.com/dhiTHXx), в котором можно смотреть на что расходуется память, делать снапшоты (и логи GC и СС) и сравнивать их. Может попробуете отследить, что так радикально ест память.

     
  • 3.42, Ordu, 21:00, 26/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > https://imgur.com/iOd8KJW
    > Firefox открыт третий день компьютер не выключался (ночами стоял на ждущем), FF
    > плотно используется. Где ~6Гб? Может они при каких-то определённых условиях утекают?

    Ну три дня любой дурак сможет. Ты попробуй его не закрывать месяц.

     
     
  • 4.47, GG, 01:39, 27/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Второй месяц не закрываю, 550 мегабайт.

    До этого полгода висел, проблем не наблюдалось.

     
     
  • 5.50, svsd_val, 04:07, 27/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Скинь пруфы ?
    ps -ewo rss,pid,lstart,euser,etime,time,cmd --sort %mem | grep -v grep | grep -i firefox | awk '{printf $1/1024 "MB"; $1=""; print }'
     
  • 2.31, Shevchuk, 17:23, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Не испытываю подобных проблем, но если нет необходимости в постоянной работе этих вкладок всё время, то:

    Auto tab discard: https://addons.mozilla.org/ru/firefox/addon/auto-tab-discard/

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor