Mozilla gaat gedrag van SameSite-cookies in Firefox aanpassen
Mozilla gaat het gedrag van SameSite-cookies in Firefox aanpassen, iets wat gevolgen voor sommige websites kan hebben. Websites kunnen zowel first-party cookies voor hun eigen domein plaatsen, alsmede third-party cookies van externe diensten die op de website actief zijn, zoals advertentienetwerken, socialmediaplug-ins en widgets.
Via het SameSite-attribuut kan een webontwikkelaar aangeven dat een cookie alleen voor de first-party, of same-site context, toegankelijk is. Het SameSite-attribuut heeft drie mogelijk waardes: none, lax of strict. Wanneer een cookie alleen toegankelijk mag zijn voor de first-party kunnen ontwikkelaars kiezen uit SameSite=Lax of SameSite=Strict. Maar weinig ontwikkelaars maken echter gebruik van deze opties, zo liet Google eerder al weten.
Daardoor zijn first-party cookies blootgesteld aan aanvallen zoals cross-site request forgery (CSRF). Bij een CSRF-aanval probeert een kwaadaardige website cookies van een andere website voor een aanval te gebruiken. Om gebruikers tegen dergelijke aanvallen te beschermen moeten browsers de manier waarop ze met cookies omgaan veranderen, zo stelt Mozilla.
Wanneer er niets is ingesteld zal Firefox cookies straks standaard als SameSite=Lax behandelen. Cookies worden dan niet op verzoek van andere websites verstrekt. Wanneer websites voor cookies de optie SameSite=None gebruiken, om die zo voor meerdere websites toegankelijk te maken, moet het aanvullende "Secure" attribuut worden gebruikt. Dit zorgt ervoor zorgt dat cookies alleen via https-verbindingen benaderbaar zijn.
Websites die afhankelijk zijn van de oude manier waarop Firefox met cookies omging moeten nu het SameSite-attribuut op None zetten en het Secure-attribuut toevoegen. Wanneer webmasters deze instelling niet doorvoeren kan dit ervoor zorgen dat hun websites straks niet meer goed werken binnen Firefox. Mozilla heeft de maatregel doorgevoerd onder de helft van de Firefox-betagebruikers. Er wordt nu gekeken wat de impact op bezochte websites is.
Wanneer de maatregel bij gebruikers van de release-versie van Firefox wordt doorgevoerd is nog onbekend. Google heeft hetzelfde cookiebeleid al voor Chrome-gebruikers ingeschakeld.
Het voorstel is ook om cookies te beperken tot het schema waarop deze ingesteld zijn (verschillende cookies op HTTP en HTTPS) en cookies op HTTP standaard te beperken als sessie cookies. De term 'sessie' zal ook wat geherdefinieerd worden, dat verschilt wel een per browser. Nu kunnen sessie cookies vrij lang blijven bestaan, als je je browser niet afsluit of altijd een vorige sessie hervat.
Vraag is of die al die veranderingen er eerder gaan komen dan dat de browsermakers besluiten om HTTP helemaal dicht te gooien...
https://tools.ietf.org/html/draft-west-cookie-incrementalism-01
Het is inderdaad erg slecht gesteld met de veiligheid van cookies, en SameSite ontbreekt vaak (Secure ook). Het lijkt wel of de ontwikkelaars niet snappen waar ze mee bezig zijn. Kennelijk begrijpen ze niet dat andere sites cookies kunnen uitlezen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
