¿Por qué la falta de la cookie "SameSite" marca un riesgo?

15

Las cookies de hoy en día pueden tener marcas HTTPOnly, Secure y SameSite. Los propósitos de HTTPOnly y Secure flags son bastante claros. Pero, ¿qué impide exactamente y cómo lo hacen los scripts de SameSite?

Además, ¿cómo se vería un escenario de "ataque" o "mal uso" exitoso cuando no se usa la marca SameSite?

    
pregunta Bob Ortiz 16.03.2017 - 21:51
fuente

2 respuestas

10

Los objetivos de la bandera SameSite son:

  • evitar los ataques de tiempo de origen cruzado (ver, por ejemplo, aquí )
  • evitar la inclusión de secuencias de comandos de origen cruzado (vea aquí )
  • evitar CSRF: las cookies de SameSite solo se envían si el sitio desde el que se originó la solicitud tiene el mismo origen que el sitio de destino (en modo estricto para GET y POST, en modo relajado solo para solicitudes POST).
  • protección limitada de la privacidad
respondido por el tim 16.03.2017 - 21:58
fuente
8

La respuesta real debería ser, como siempre: depende de su escenario de uso.

El valor Strict evitará que la cookie sea enviada por el navegador al sitio de destino en todos los contextos de navegación entre sitios, incluso cuando se sigue una enlazar. Por ejemplo, para un sitio web similar a GitHub, esto significaría que si un usuario conectado sigue un enlace a un proyecto privado de GitHub publicado en un foro de discusión corporativo o correo electrónico, GitHub no recibirá la cookie de la sesión y el usuario no podrá Para acceder al proyecto. Un sitio web bancario sin embargo lo más probable es que no quiera para permitir que las páginas transaccionales se vinculen desde sitios externos, por lo que el indicador Strict sería más apropiado aquí.

El valor predeterminado Lax proporciona un equilibrio razonable entre la seguridad y usabilidad para sitios web que desean mantener la sesión de inicio de sesión del usuario después de El usuario llega desde un enlace externo. En el escenario GitHub anterior, la cookie de sesión Se permitiría seguir un enlace regular desde un sitio web externo mientras se bloquea. en métodos de solicitud propensos a CSRF (por ejemplo, POST ).

    
respondido por el kravietz 20.04.2017 - 14:33
fuente

Lea otras preguntas en las etiquetas