События

В Firefox появится защита от CSRF-атак

Инженеры Mozilla намерены добавить в Firefox новую функцию безопасности для защиты от межсайтовых подделок запроса (CSRF). Так, в версии браузера Firefox 60, запланированной к выпуску на 9 мая текущего года, будет реализована поддержка атрибута cookie SameSite.

Атрибут SameSite блокирует загрузку сайтом файлов cookie, загруженных с других доменов, которые не совпадают с URL в адресной строке Firefox. Если на сайте активированы cookie-файлы SameSite, браузер не будет загружать cookie-файлы с facebook.com, если пользователь в настоящее время находится на domain.com. Другими словами, поддержка SameSite позволит защитить пользователей Firefox от CSRF-атак.

Стоит отметить, реализация функции SameSite ложится не на плечи пользователей или инженеров Mozilla. Атрибут SameSite должны настраивать сами владельцы сайтов в заголовках ответов HTTP точно так же, также как они настраивают в заголовках ответов стандартное поле Set-Cookie.

Операторам сайтов будут доступны две настройки – Strict и Lax. Если владелец сайта использует настройку Strict, Firefox не будет прикреплять файлы cookie других запросов HTTP, если их источником не является домен, чей URL-адрес в текущий момент указан в адресной строке.

Если владелец сайта выберет настройку Lax, Firefox будет загружать файлы cookie с других доменов, если пользователь зашел на сайт безопасным способом, то есть, кликнув на ссылку. К примеру, если пользователь находится на сайте Facebook и кликает на ссылку, ведущую на domain.com, domain.com будет загружать файлы cookie как с domain.com, так и с Facebook, но не будет загружать файлы cookie с других сайтов.

Chrome поддерживает SameSite, начиная с версии 63, выпущенной в декабре 2017 года. В Opera поддержка SameSite появилась в версии 51, в Chrome для Android – в версии 64, а в Samsung Internet – в версии 6.2.

Источник

Автор: Сергей Куприянов
24.04.2018 (16:20)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.