image

Firefox 60 ondersteunt same-site cookies tegen csrf-aanvallen

dinsdag 24 april 2018, 13:42 door Redactie, 2 reacties

Firefox 60 gaat "same-site cookies" ondersteunen, wat gebruikers tegen csrf-aanvallen moet beschermen, zo laat Mozilla weten. Bij elk verzoek naar een website stuurt de browser een cookie mee. De meeste websites maken van dit mechanisme gebruik om te bepalen of gebruikers zijn ingelogd.

Het feit dat cookies automatisch met elk verzoek van de browser worden meegestuurd kan door aanvallers worden misbruikt om gebruikers ongewenste acties uit te laten voeren op de website waar ze op dat moment zijn ingelogd. Dit soort aanvallen worden cross-site request forgery (csrf) aanvallen genoemd. Een aanvaller die de controle over third-party code op de website heeft kan in naam van de gebruiker acties uitvoeren.

De huidige webarchitectuur biedt op dit moment geen mogelijkheid voor websites om op betrouwbare wijze onderscheid te maken tussen de acties van een gebruiker of die van een third-party script. Het same-site cookie kan hierbij echter uitkomst bieden. Het same-site cookie attribuut laat een website aan de browser weten dat cookies alleen moeten worden verstuurd als het verzoek afkomstig is van de website waar ook het cookie vandaan komt.

Verzoeken die van andere url's afkomstig zijn dan van de url die in de adresbalk staat vermeld zullen geen van de cookies met dit nieuwe attribuut bevatten, zo stelt Mozillas Christoph Kerschbaumer. Het same-site-attribuut kent twee modes waar websites uit kunnen kiezen, een strenge en een lakse mode. Dit bepaalt onder andere wanneer een gebruiker als ingelogd wordt beschouwd na het openen van een link op een externe website. Firefox 60 staat gepland voor 9 mei van dit jaar.

Reacties (2)
24-04-2018, 16:09 door Anoniem
Als je een beetje weet hoe een HTTP request werkt dan weet je dat dit een taak is van degene die de website bouwt.
24-04-2018, 17:01 door Anoniem
Door Anoniem: Als je een beetje weet hoe een HTTP request werkt dan weet je dat dit een taak is van degene die de website bouwt.

Alsnog fijn dat er op deze manier meerdere lagen ontstaan ter beveiliging, het is geen slecht idee:)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.