image

Edge en IE krijgen extra bescherming tegen CSRF-aanvallen

vrijdag 18 mei 2018, 10:20 door Redactie, 2 reacties
Laatst bijgewerkt: 18-05-2018, 16:43

Microsoft gaat een maatregel aan Edge en Internet Explorer toevoegen die gebruikers extra bescherming tegen cross-site request forgery (CSRF) aanvallen moet bieden. Bij een CSRF-aanval worden kwaadaardige acties vanuit de browser van de gebruiker uitgevoerd.

Daardoor lijkt het voor een webapplicatie dat het de gebruiker is die de acties uitvoert, terwijl het in werkelijkheid om acties van een aanvaller gaat. Om dergelijke aanvallen tegen te gaan gaat Microsoft same-site cookies in Edge en IE ondersteunen. Bij elk verzoek naar een website stuurt de browser een cookie mee. De meeste websites maken van dit mechanisme gebruik om te bepalen of gebruikers zijn ingelogd.

Het feit dat cookies automatisch met elk verzoek van de browser worden meegestuurd kan door aanvallers worden misbruikt om gebruikers ongewenste acties uit te laten voeren op de website waar ze op dat moment zijn ingelogd. Een aanvaller die controle over third-party code op de website heeft kan vervolgens in naam van de gebruiker acties op die website uitvoeren.

De huidige webarchitectuur biedt op dit moment geen mogelijkheid voor websites om op betrouwbare wijze onderscheid te maken tussen de acties van een gebruiker of die van een third-party script. Het same-site cookie kan hierbij echter uitkomst bieden. Het same-site cookie attribuut laat een website aan de browser weten dat cookies alleen moeten worden verstuurd als het verzoek afkomstig is van de website waar ook het cookie vandaan komt. Verzoeken die van andere url's afkomstig zijn dan van de url die in de adresbalk staat vermeld zullen geen van de cookies met dit nieuwe attribuut bevatten.

Het same-site-attribuut kent twee modes waar websites uit kunnen kiezen; een strenge en een lakse mode. Dit bepaalt onder andere wanneer een gebruiker als ingelogd wordt beschouwd na het openen van een link op een externe website. Same-site cookies zijn backwards compatibel. Browsers die het niet ondersteunen zullen het attribuut negeren en het cookie als een normaal cookie beschouwen. Microsoft heeft de maatregel nu al in een testversie van Edge doorgevoerd. Eerder kondigde ook Mozilla aan dat het same-site cookies in Firefox gaat ondersteunen.

Reacties (2)
18-05-2018, 17:07 door Anoniem
En nog eerder Chrome... https://caniuse.com/#feat=same-site-cookie-attribute

Als iemand het waagt om als roeptoeter te melden dat PHP dit niet ondersteunt en dus onveilig, dan heb je het mis.
PHP 7.3 krijgt de functie, en goede CMS/frameworks ondersteunen het ook in PHP < 7.3 door hun eigen cookie handler.

Hoe het zit met websites in Python, ASP.NET, etc. etc. weet ik niet.
19-05-2018, 15:02 door Anoniem
ASP.NET Core
Door Anoniem: En nog eerder Chrome... https://caniuse.com/#feat=same-site-cookie-attribute

Als iemand het waagt om als roeptoeter te melden dat PHP dit niet ondersteunt en dus onveilig, dan heb je het mis.
PHP 7.3 krijgt de functie, en goede CMS/frameworks ondersteunen het ook in PHP < 7.3 door hun eigen cookie handler.

Hoe het zit met websites in Python, ASP.NET, etc. etc. weet ik niet.

Al beginnen met de verdeling voordat de aanval is geopend? Maar je hebt wel een goed punt wat het artikel een beetje mist, namelijk dat de backend het ook moet ondersteunen. Dus security specialisten, spreek uw developers aan :)

@ Anoniem
ASP.NET https://docs.microsoft.com/en-us/dotnet/api/microsoft.aspnetcore.http.cookiebuilder.samesite?view=aspnetcore-2.0
https://code.djangoproject.com/ticket/27863
Dus ja, PHP, is objectief op deze cookie feature het minst veilig van de door jou genoemde webservers :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.