Firefox melhora a proteção contra CSRF com suporte para cookies no mesmo site
DARKNET BRASIL
Os engenheiros da Mozilla estão planejando adicionar um novo recurso de segurança ao Firefox com a adição do suporte a cookies no mesmo site do Firefox 60, programado para lançamento no próximo mês, em 9 de maio.
O recurso de cookie no mesmo site destina-se a impedir que sites carreguem cookies baixados de outros domínios que não correspondam ao URL presente na barra de endereços do Firefox. Por exemplo, com o cookie do mesmo site ativado em um site, o Firefox não carregará cookies do facebook.com se um usuário estiver visitando o domínio.com.
Cookies no mesmo site ajudarão na defesa contra ataques de CSRF
Os desenvolvedores do Firefox dizem que o recurso de cookie no mesmo site (também escrito como SameSite) tem como objetivo proteger os usuários contra ataques de falsificação de solicitações entre sites (CSRF).
O CSRF ocorre quando os invasores induzem os usuários a realizar uma ação, mas forjam outra operação em segundo plano. Por exemplo, um usuário pode clicar em um link mal-intencionado, mas o invasor usa o clique para enviar configurações de conta modificadas em outro site, sequestrando cookies locais.
Isso geralmente acontece porque os navegadores anexam automaticamente os cookies enviados a cada solicitação de navegador para um domínio específico. Os invasores abusam desse mecanismo de "anexação automática de cookie" para fazer solicitações a outros sites, sequestrando efetivamente os outros cookies armazenados localmente pelo usuário - enquanto o usuário está em um site totalmente diferente - para executar operações maliciosas sem o conhecimento do usuário em sites legítimos.
Devido ao design atual das tecnologias da Web, os aplicativos da Web e os sites não podem diferenciar de maneira confiável entre as ações iniciadas por um usuário real e aquelas executadas por scripts automatizados, como as ações com script de um ataque CSRF
Ao adicionar suporte para cookies de mesmo site no Firefox, os engenheiros da Mozilla estão dando aos operadores de sites uma nova configuração que eles podem configurar para seus aplicativos e portais e impedir que invasores sequestrem cookies para ações nefastas.
Os proprietários de sites devem adicionar suporte para o atributo SameSite
Mas esse não é um recurso de segurança que depende dos usuários ou do Mozilla. O atributo "SameSite" deve ser definido pelos proprietários de sites nos cabeçalhos de resposta HTTP do site, da mesma forma como eles configurariam o campo de cabeçalho padrão Set-Cookie.
De acordo com a especificação da IETF, duas configurações estarão disponíveis para os operadores de sites - Strict e Lax.
Quando o proprietário de um site usa uma configuração "restrita" para seu site, o Firefox se recusará a anexar cookies para outras solicitações HTTP, se eles não forem para o mesmo domínio que o URL carregado na barra de endereço.
Para a configuração "relaxada", o Firefox carregará cookies de outros domínios se o usuário chegar ao site usando um método "seguro", como clicar e seguir um link. Assim, por exemplo, se o usuário estiver no Facebook e clicar em um link para domain.com, o domínio.com com uma política frouxa de cookie no mesmo site carregará cookies do domínio.com e do Facebook, mas se recusará a trabalhar com cookies para outros domínios.
Mais informações sobre como os proprietários de sites podem aproveitar o recurso de cookies SameSitena especificação IETF RFC 6265 .
O Chrome oferece suporte a cookies para sites semelhantes desde a versão 63, lançada em dezembro de 2017. Outros navegadores que oferecem suporte para cookies no mesmo site são o Opera (desde v51), o Chrome para Android (desde v64) e a Samsung Internet (desde v6.2).
Related Articles:
Mozilla Has Started Gradually Enabling TLS 1.3 in Firefox
Firefox Follows Chrome and Blocks the Loading of Most FTP Resources
Firefox Master Password System Has Been Poorly Secured for the Past 9 Years