image

Mozilla gaat gedrag van SameSite-cookies in Firefox aanpassen

woensdag 5 augustus 2020, 16:24 door Redactie, 2 reacties

Mozilla gaat het gedrag van SameSite-cookies in Firefox aanpassen, iets wat gevolgen voor sommige websites kan hebben. Websites kunnen zowel first-party cookies voor hun eigen domein plaatsen, alsmede third-party cookies van externe diensten die op de website actief zijn, zoals advertentienetwerken, socialmediaplug-ins en widgets.

Via het SameSite-attribuut kan een webontwikkelaar aangeven dat een cookie alleen voor de first-party, of same-site context, toegankelijk is. Het SameSite-attribuut heeft drie mogelijk waardes: none, lax of strict. Wanneer een cookie alleen toegankelijk mag zijn voor de first-party kunnen ontwikkelaars kiezen uit SameSite=Lax of SameSite=Strict. Maar weinig ontwikkelaars maken echter gebruik van deze opties, zo liet Google eerder al weten.

Daardoor zijn first-party cookies blootgesteld aan aanvallen zoals cross-site request forgery (CSRF). Bij een CSRF-aanval probeert een kwaadaardige website cookies van een andere website voor een aanval te gebruiken. Om gebruikers tegen dergelijke aanvallen te beschermen moeten browsers de manier waarop ze met cookies omgaan veranderen, zo stelt Mozilla.

Wanneer er niets is ingesteld zal Firefox cookies straks standaard als SameSite=Lax behandelen. Cookies worden dan niet op verzoek van andere websites verstrekt. Wanneer websites voor cookies de optie SameSite=None gebruiken, om die zo voor meerdere websites toegankelijk te maken, moet het aanvullende "Secure" attribuut worden gebruikt. Dit zorgt ervoor zorgt dat cookies alleen via https-verbindingen benaderbaar zijn.

Websites die afhankelijk zijn van de oude manier waarop Firefox met cookies omging moeten nu het SameSite-attribuut op None zetten en het Secure-attribuut toevoegen. Wanneer webmasters deze instelling niet doorvoeren kan dit ervoor zorgen dat hun websites straks niet meer goed werken binnen Firefox. Mozilla heeft de maatregel doorgevoerd onder de helft van de Firefox-betagebruikers. Er wordt nu gekeken wat de impact op bezochte websites is.

Wanneer de maatregel bij gebruikers van de release-versie van Firefox wordt doorgevoerd is nog onbekend. Google heeft hetzelfde cookiebeleid al voor Chrome-gebruikers ingeschakeld.

Reacties (2)
05-08-2020, 17:39 door Anoniem
Over de jaren heen is er steeds meer aandacht voor de schadelijke effecten van bepaalde webtechnologieën. Cookies zijn daar geen uitzondering op, zo kunnen deze lang op een computer blijven staan en over onveilige HTTP verbindingen verstuurd worden. Deze SameSite veranderingen komen voort uit een voorstel om enkele van die nadelige aspecten van cookies aan te passen, maar wel met de nodige incompatibiliteit.

Het voorstel is ook om cookies te beperken tot het schema waarop deze ingesteld zijn (verschillende cookies op HTTP en HTTPS) en cookies op HTTP standaard te beperken als sessie cookies. De term 'sessie' zal ook wat geherdefinieerd worden, dat verschilt wel een per browser. Nu kunnen sessie cookies vrij lang blijven bestaan, als je je browser niet afsluit of altijd een vorige sessie hervat.

Vraag is of die al die veranderingen er eerder gaan komen dan dat de browsermakers besluiten om HTTP helemaal dicht te gooien...

https://tools.ietf.org/html/draft-west-cookie-incrementalism-01
05-08-2020, 19:00 door Anoniem
Dit is een goede actie van Mozilla.

Het is inderdaad erg slecht gesteld met de veiligheid van cookies, en SameSite ontbreekt vaak (Secure ook). Het lijkt wel of de ontwikkelaars niet snappen waar ze mee bezig zijn. Kennelijk begrijpen ze niet dat andere sites cookies kunnen uitlezen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.