Zamknij komunikat

Nowy Office 2013
Do góry Skomentuj

Nowa funkcja w Edge i IE pomoże chronić prywa...

Nowa funkcja w Edge i IE pomoże chronić prywatność i bezpieczeństwo ciasteczek

Na liście zmian kompilacji 17672 właściwie tylko przelotem pojawiła się informacja, że Microsoft Edge oraz Internet Explorer 11 w Windows 10 otrzymały wsparcie (Preview) dla same-site cookies, czyli specjalnego atrybutu ciasteczek, mającego chronić użytkowników przed atakami typu CSRF. Z czym to się je? Microsoft wyjaśnił szczegóły tej implementacji na blogu.

same-site cookies

SameSite to właściwie rodzaj standardu ciasteczek, który pomaga chronić użytkowników przed atakami CSRF (cross-site request forgery), czyli wykorzystującymi nieświadomych użytkowników do przesłania spreparowanych żądań do serwera. By temu przeciwdziałać, deweloperzy będą mogli ustawić atrybut SameSite w plikach cookies na swojej stronie internetowej, co zapobiegnie wysyłaniu tych plików ze strony internetowej do zewnętrznych domen. Wiąże się to z żądaniami cross-origin (pozwalającymi współdzielić zasoby pomiędzy domenami), które w wielu scenariuszach zapewniają wygodę, np. w postaci możliwości ponownego wykorzystania niektórych stanów (np. logowania) w różnych witrynach, niezależnie od miejsca pochodzenia tego żądania. Niestety, na tym polu dochodzić może do nadużyć, a przykładem tego są właśnie ataki CSRF.

Wsparcie, które zaczął w tym tygodniu testować Microsoft, pozwala twórcom witryn ustawić wybranym plikom cookie atrybut SameSite za pomocą nagłówka Set-Cookie lub właściwości JavaScript document.cookie. W ten sposób witryna zapobiega domyślnemu zachowaniu przeglądarki, które umożliwia współdzielenie żądań między witrynami. Moc atrybutu może być silniejsza (wartość strict blokuje wszystkie żądania między witrynami) albo słabsza (wartość lax blokuje tyko niektóre rodzaje żądań).

Wybór atrybutu wiąże się z dalszymi konsekwencjami. W przypadku metody restrykcyjnej plik cookie danej witryny nie zostanie wysłany dla żadnego żądania między domenami, nawet jeśli przechodzimy na ową witrynę (z innej). W rezultacie, ponieważ stan zalogowania jest przechowywany jako plik cookie SameSite = Strict, gdy użytkownik kliknie łącze, początkowo będzie wyglądało, jakby użytkownik nie był zalogowany. Jeśli zaś zostanie wybrany luźny atrybut, plik cookie nie będzie wysyłany dla żądań podzasobów cross-origin, takich jak obrazy. SameSite = Lax umożliwia jednak udostępnianie cookies podczas nawigacji z zewnętrznej witryny, na przykład po kliknięciu łącza.

Co ze starszymi przeglądarkami i tymi, które nie otrzymały wsparcia dla SameSite? Deweloperzy nie muszą obawiać się problemów z kompatybilnością. Jeśli atrybut nie jest rozpoznawany, zostanie on po prostu zignorowany, a przeglądarka będzie działać tak samo, jak dawniej. Warto jeszcze dodać, że chociaż implementacja rozwijana jest w ramach Windows 10 Redstone 5, Microsoft zamierza ją dodać również do Edge i Internet Explorera w starszych wersjach Dziesiątki, aż do Creators Update.

Krzysztof Sulikowski
18 maja 2018, 18:56
492
Odsłony
Krzysztof Sulikowski
18 maja 2018, 18:56
492
Odsłony



Komentarze

Nie napisano jeszcze ani jednego komentarza. Twój może być pierwszy.

Dodaj swój komentarz

Zasady publikacji komentarzyZasady publikacji komentarzy

Redakcja CentrumXP.pl nie odpowiada za treść komentarzy publikowanych na stronach Portalu
i zastrzega sobie prawo do usuwania wypowiedzi, które:

  • zawierają słowa wulgarne, obraźliwe, prowokujące i inne naruszające dobre obyczaje;
  • są jedynie próbami reklamowania stron internetowych (spamowanie poprzez umieszczanie linków);
  • przyczyniają się do złamania prawa bądź warunków licencyjnych oprogramowania (cracki, seriale, torrenty itp.);
  • zawierają dane osobowe, teleadresowe, adresy mailowe lub numery GG;
  • merytorycznie nie wnoszą nic do dyskusji lub nie mają związku z tematem komentowanego newsa, artykułu bądź pliku.