image

Google patcht 56 lekken en wijzigt cookiebeleid in Chrome 80

woensdag 5 februari 2020, 09:55 door Redactie, 3 reacties

Google heeft een nieuwe versie van Chrome uitgebracht waarin 56 kwetsbaarheden zijn verholpen en een nieuw cookiebeleid is doorgevoerd. Via de beveiligingslekken, die onder andere door de Britse overheid werden gevonden, had een aanvaller code binnen de context van de browser kunnen uitvoeren.

Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. 38 van de kwetsbaarheden werden door externe onderzoekers aan Google gerapporteerd. Het ging onder andere om een integer overflow in JavaScript die door het Britse National Cyber Security Centre (NCSC) werd ontdekt en gerapporteerd. Google beloonde de Britse overheidsinstantie met 5.000 dollar voor de bugmelding. Daarmee was het de hoogste beloning die Google deze patchronde aan externe onderzoekers uitkeerde.

Cookiebeleid

Naast het verhelpen van kwetsbaarheden heeft Google ook het cookiebeleid voor websites in Chrome 80 aangepast. Volgens de internetgigant hebben de nieuwe instellingen allerlei veiligheidsvoordelen en zorgen ze voor meer transparantie en gebruikerskeuze. Websites kunnen zowel first-party cookies voor hun eigen domein plaatsen, alsmede third-party cookies van externe diensten die op de website actief zijn, zoals advertentienetwerken, socialmediaplug-ins en widgets. Ook wanneer een partij meerdere websites heeft en op die websites een cookie gebruikt, zal het cookie nog steeds als third-party worden gezien wanneer het domein niet overeenkomt met de site(s) waarvandaan het cookie wordt benaderd, ook al zijn de sites en cookies van dezelfde partij.

Wanneer een cookie alleen toegankelijk mag zijn voor de first-party hebben ontwikkelaars keuze uit twee instellingen, SameSite=Lax of SameSite=Strict, om externe toegang te voorkomen. Maar weinig ontwikkelaars maken echter gebruik van deze opties, aldus Google. Daardoor zouden first-party cookies zijn blootgesteld aan aanvallen zoals cross-site request forgery. Om websites en gebruikers te beschermen zal er een nieuw "secure-by-default" model worden toegepast, dat ervan uitgaat dat alle cookies tegen externe toegang moeten zijn beschermd, tenzij dit anders is opgegeven.

Ontwikkelaars moeten de nieuwe cookie-instellingen SameSite=None nu gebruiken om aan te geven dat cookies voor meerdere websites toegankelijk zijn. Wanneer deze instelling wordt gebruikt moet er ook het aanvullende "Secure" attribuut worden gebruikt, wat ervoor zorgt dat third-party cookies alleen via https-verbindingen benaderbaar zijn. Google benadrukt dat dit niet alle risico's van third-party toegang oplost, maar wel bescherming tegen netwerkaanvallen biedt.

Chrome 80 zal alle cookies die geen opgegeven SameSite-waarde gebruiken als SameSite=Lax cookies behandelen. Alleen cookies met de SameSite=None en Secure-instelling zullen extern toegankelijk zijn. Zowel Microsoft als Mozilla hebben aangegeven het nieuwe cookiebeleid ook te zullen volgen. Webontwikkelaars en andere partijen die met third-party cookies werken krijgen dan ook het advies om de vereiste instellingen voor die cookies door te voeren. In onderstaande video wordt het nieuwe beleid door Google uitgelegd. Updaten naar Chrome 80.0.3987.87 zal op de meeste systemen automatisch gebeuren.

Image

Reacties (3)
05-02-2020, 10:02 door Anoniem
Belangrijke toevoeging: de enforcement gebeurt nog niet meteen (zoals eerder aangekondigd) maar zal in de komende weken gradueel ingevoerd worden.

Launch Timing: The stable release of Chrome 80 is scheduled to begin on February 4. Enforcement of the new cookie classification system in Chrome 80 will begin later in February with a small population of users, gradually increasing over time. To get the latest information about the rollout timing and process, monitor the SameSite Updates page. To see if your browser has been updated, you can visit this page; if all the rows are green then your browser is applying the new defaults.
05-02-2020, 10:30 door Anoniem
Gewoon alle third party cookies blokkeren. Zoals Safari al in Mac OS X 10.4 Tiger deed. En misschien daarvoor ook al.
Dit is veel te ingewikkeld. Dit snapt geen enkele gebruiker. Ik haal uit dit artikel dat de bedoeling is dat Facebook cookies blijven werken als je op een heel andere site zit (bijvoorbeeld je bank).
05-02-2020, 11:41 door Anoniem
Let even op met O365 en andere microsoft applicaties (o.a. ADFS, Skype en andere)

https://docs.microsoft.com/en-us/office365/troubleshoot/miscellaneous/chrome-behavior-affects-applications
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.