Jakiś czas temu tłumaczyłem…

31 lipca 2019

Jakiś czas temu tłumaczyłem błąd CSRF, który może prowadzić do nieświadomego wykonania akcji przez zalogowanego użytkownika.
Wtedy jako rozwiązanie podałem używanie dodatkowego pola z losową wartością.
Ale czy ruch twórców przeglądarki Google Chrome może doprowadzić do końca tego rodzaju podatności?

Planowane jest bowiem ustawienie flagi SameSite=Lax dla wszystkich ciasteczek.
W wersji Strict przeglądarka nie dołączy ciasteczka do żądania, które pochodzi z innej domeny.
Jeżeli więc złośliwy formularz znajduje się na innej domenie niż atakowana strona – przeglądarka sama zadba o nasze bezpieczeństwo.

Jest jedno ale. Z punktu widzenia przeglądarki, kliknięcie w link na stronie to nic innego jako wykonanie żądania GET do innej domeny.
Jeżeli jakaś strona zawiera odnośnik do Facebooka, nawet jeżeli jesteśmy na nim zalogowani, po kliknięciu w link nasze ciasteczko nie zostanie wysłane.
Czyli witryna nie będzie wiedziała że my to my.

Stąd też dodatkowa wartość Lax, która ma rozwiązać ten problem.
Wtedy, przeglądarka dołączy ciasteczko pomimo braku zgodności domeny, jeżeli żądanie wykonane zostało przy pomocy bezpiecznej metody oraz o ile doprowadziło do zmiany adresu URL w pasku przeglądarki.
Po co ten drugi warunek?

Teoretycznie ma chronić naszą prywatność i ograniczyć liczbę ciasteczek, które śledzą użytkownika.
One to bowiem zazwyczaj przesyłane są podczas pobierania małych obrazków z różnych serwerów.
Wyświetlenie obrazka nie prowadzi jednak do zmiany adresu w pasku przeglądarki.

Przeczytaj więcej o bezpieczeństwie ciasteczek.
Lub posłuchaj jako podcast na Google i Apple Podcasts oraz Spotify i Anchor.
Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security

No Comments

Comments are closed.