Firefox mejora la proteccion CSRF con soporte para cookies

Los ingenieros de Mozilla planean agregar una nueva característica de seguridad a Firefox con la inclusion del soporte de cookies del mismo sitio en Firefox 60 programado para el próximo 9 de mayo

La función de cookies del mismo sitio está destinada a evitar que los sitios web carguen cookies descargadas de otros dominios que no coinciden con la URL presente en la barra de direcciones de Firefox. Por ejemplo, con la cookie del mismo sitio habilitada en un sitio web, Firefox no cargará cookies de facebook.com si un usuario visita Domain.com.

Las cookies del mismo sitio ayudarán a defenderse contra los ataques de CSRF

Los desarrolladores de Firefox dicen que la función de cookies del mismo sitio (también deletreado SameSite) está destinada a proteger a los usuarios contra los ataques de falsificación de solicitudes entre sitios (CSRF).

CSRF se lleva a cabo cuando los atacantes engañan a los usuarios para que realicen una acción pero forjan otra operación en segundo plano. Por ejemplo, un usuario puede hacer clic en un enlace malicioso, pero el atacante usa el clic para enviar configuraciones de cuenta modificadas en otro sitio secuestrando las cookies locales.

Esto suele ocurrir porque los navegadores adjuntan automáticamente las cookies enviadas con cada solicitud de navegador para un dominio específico. Los atacantes abusan de este mecanismo "de cookies que se anexa automáticamente" para realizar solicitudes a otros sitios, secuestrando eficazmente las otras cookies almacenadas localmente del usuario mientras el usuario se encuentra en un sitio totalmente diferente para realizar operaciones maliciosas sin el conocimiento del usuario en sitios legítimos.

Debido al diseño actual de las tecnologías web, las aplicaciones web y los sitios web no pueden distinguir de manera fiable entre las acciones iniciadas por un usuario real y las llevadas a cabo por scripts automatizados, como las acciones con guiones de un ataque CSRF.

Al agregar soporte para cookies del mismo sitio en Firefox, los ingenieros de Mozilla están dando a los operadores de sitios web una nueva configuración que pueden configurar para sus aplicaciones y portales y evitar que los atacantes se apropien de las cookies por acciones nefastas.

Los propietarios de sitios web deben agregar soporte para el atributo SameSite

Pero esta no es una función de seguridad que dependa de los usuarios o de Mozilla, para el caso. Los propietarios del sitio web deben establecer el atributo "SameSite" en los encabezados de respuesta HTTP de su sitio, de forma similar a como configurarían el campo de encabezado Set-Cookie estándar.

De acuerdo con la especificación IETF, habrá dos configuraciones disponibles para los operadores del sitio web: estricta y Lax.

Cuando el propietario de un sitio web utiliza una configuración "estricta" para su sitio web, Firefox se negará a adjuntar cookies para otras solicitudes HTTP si no son para el mismo dominio que la URL cargada en la barra de direcciones.

Para la configuración "laxa", Firefox cargará cookies de otros dominios si el usuario ha llegado al sitio usando un método "seguro", como hacer clic y seguir un enlace. Entonces, por ejemplo, si el usuario está en Facebook y hace clic en un enlace para dominio.com, entonces domain.com con una política de cookies laxas del mismo sitio cargará cookies tanto de domain.com como de Facebook, pero se niega a trabajar con cookies para otros dominios

Chrome ha sido compatible con cookies del mismo sitio desde la versión 63, lanzada en diciembre de 2017. Otros navegadores compatibles con cookies del mismo sitio son Opera (desde v51), Chrome para Android (desde v64) y Samsung Internet (desde v6.2).


Fecha actualización el 2018-04-24. Fecha publicación el 2018-04-24. Categoría: firefox. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer
Firefox mejora la proteccion CSRF