Stato attuale del cookie SameSite

Naviga le tue risposte
9

Recentemente ho avuto modo di conoscere l'attributo del cookie SameSite che viene utilizzato per mitigare gli attacchi CSRF. L'attributo AFAIK SameSite per i cookie è implementato in Chrome e in altri browser. Poiché sto utilizzando il server Tomcat per distribuire le mie app Web, ho sollevato una discussione con Tomcat dev per vedere se hanno intenzione di supportarlo in una prossima versione. Hanno detto che se il lavoro delle specifiche non si era fermato e / o la protezione offerta era più completa, allora potevano prendere in considerazione l'idea di supportare SameSite Cookie. Qui voglio chiarire le domande qui sotto.

  1. Poiché la bozza è scaduta [1], qual è lo stato corrente del cookie SameSite?
  2. Sarà una soluzione standard?

[1] [ link

    
posta Bhranee 13.06.2018 - 08:18
fonte

1 risposta

7

I cookie SameSite sono qui per rimanere.

Erano disponibili da molto tempo in Chrome (a partire dalla v51) e più recentemente sono stati implementati in Firefox .

La protezione dei cookie protegge da un'intera gamma di vulnerabilità CSRF. Protegge contro BREACH, un attacco del canale laterale di compressione che può rubare un cookie forgiando molte richieste autenticate. Protegge da alcuni attacchi Spect del client, in cui la risposta a una richiesta di origine incrociata viene letta utilizzando vulnerabilità di esecuzione speculative.

Le specifiche sono ancora in lavorazione. Ad esempio, il modo in cui i cookie samesite severi devono comportarsi nei reindirizzamenti non è completamente chiaro.

Attualmente consiglierei a tutti di impostare samesite = Lax su tutti i cookie. Offre un ragionevole vantaggio di sicurezza senza rompere le cose o essere troppo lavoro. Utilizzo di samesite = I cookie rigidi danno maggiore sicurezza, ma potrebbero rompere alcune funzioni sul tuo sito.

Il software server deve dare la possibilità di impostare l'attributo samesite su Lax o Strict . Quella parte delle specifiche è molto stabile e non sarebbe prematuro offrirla. Ad esempio, PHP sta pianificando di aggiungere samesite alla loro funzione setcookie.

Inoltre, mi aspetto che tu possa utilizzare i cookie di samesite anche se Tomcat non lo implementa, se crei le tue intestazioni Set-Cookie.

    
risposta data 13.06.2018 - 08:58
fonte

Leggi altre domande sui tag

Insidie quando si attiva la propria funzionalità "mostra password" Qual è il significato esatto di "Materiale per la trasparenza"?