Estado actual de la cookie SameSite

9

Recientemente conocí el atributo de cookie SameSite que se usa para mitigar los ataques CSRF. El atributo AFAIK SameSite para cookies se implementa en Chrome y en algunos otros navegadores. Desde que estoy usando el servidor Tomcat para implementar mis aplicaciones web, he planteado una discusión con el desarrollador de Tomcat para ver si tienen planes de admitir esto en una próxima versión. Dijeron que si el trabajo de especificaciones no se había detenido y / o la protección que ofrecía era más completa, entonces podrían considerar la compatibilidad con la cookie SameSite. Aquí quiero aclarar las preguntas a continuación.

  1. Dado que el borrador está vencido [1], ¿cuál es el estado actual de la cookie de SameSite?
  2. ¿Será una solución estándar?

[1] [ enlace

    
pregunta Bhranee 13.06.2018 - 08:18
fuente

1 respuesta

7

Las cookies de SameSite están aquí para quedarse.

Estuvieron disponibles durante mucho tiempo en Chrome (desde v51) y más recientemente se implementaron en Firefox .

Las cookies de samesite protegen contra toda una gama de vulnerabilidades CSRF. Protege contra BREACH, un ataque del canal lateral de compresión que puede robar una cookie mediante la falsificación de una gran cantidad de solicitudes autenticadas. Protege contra algunos ataques Specter del lado del cliente, donde la respuesta a una solicitud de origen cruzado se lee mediante vulnerabilidades de ejecución especulativa.

La especificación aún se está trabajando. Por ejemplo, no está del todo claro cómo deben comportarse las cookies de samesite en las redirecciones .

Actualmente recomendaría a todos que configuren samesite = Lax en todas las cookies. Ofrece una ventaja de seguridad razonable sin romper cosas o ser demasiado trabajo. El uso de samesite = Strict cookies da más seguridad, pero puede romper algunas funciones en su sitio.

El software del servidor debe dar la opción de establecer el atributo de samesite en Lax o Strict . Esa parte de la especificación es muy estable y no sería prematuro ofrecer eso. Por ejemplo, PHP está planeando agregar samesite a su función setcookie.

También, espero que puedas usar cookies de samesite incluso si Tomcat no lo implementa, si crees tus propios encabezados Set-Cookie.

    
respondido por el Sjoerd 13.06.2018 - 08:58
fuente

Lea otras preguntas en las etiquetas