Firefox hỗ trợ Same-Site Cookie, chống lại các cuộc tấn công CSRF

Các kỹ sư của Mozilla đang có kế hoạch bổ sung tính năng bảo mật mới cho trình duyệt với việc bổ sung hỗ trợ Same-Site Cookie trên Firefox 60, dự kiến sẽ được phát hành vào ngày 9/5 tới đây. Theo đó Firefox hỗ trợ Same-Site Cookie, chống lại các cuộc tấn công CSRF

Firefox hỗ trợ Same-Site Cookie, chống lại các cuộc tấn công CSRF sẽ chặn các trang web tải cookie được tải xuống từ các miền khác, không khớp với URL trong thanh địa chỉ của Firefox. Chẳng hạn nếu tính năng Same-Site Cookie được kích hoạt trên trang web, Firefox sẽ không tải các cookie từ facebook.com nếu người dùng hiện tại đang truy cập domain.com.

firefox ho tro same site cookie

Firefox hỗ trợ Same-Site Cookie, chống lại các cuộc tấn công CSRF

Same-site cookie hỗ trợ chống lại các cuộc tấn công CSRF

Các nhà phát triển Firefox cho biết, tính năng Same-Site Cookie (hay còn được gọi là SameSite) sẽ hỗ trợ bảo vệ người dùng chống lại các cuộc tấn công Cross-Site Request Forgery (CSRF).

CSRF xảy ra khi kẻ tấn công đánh lừa người dùng thực hiện hành động nhưng giả mạo một hoạt động khác trên nền background. Ví dụ người dùng có thể click vào liên kết độc hại, nhưng kẻ tấn công sử dụng click chuột để gửi cài đặt tài khoản đã được sửa đổi trên một trang web khác bằng cách chiếm đoạt cookie cục bộ.

Điều này xảy ra thường xuyên vì trình duyệt tự động đính kèm cookie được gửi cho mọi yêu cầu của trình duyệt cho một miền cụ thể. Kẻ tấn công lạm dụng cơ chế "tự động thêm cookie" này để thực hiện yêu cầu tới các trang web khác, chiếm đoạt các cookie được lưu trữ cục bộ của người dùng để thực hiện các hoạt động trái phép trên các trang web hợp lệ mà người dùng không hề hay biết, trong khi người dùng đang ở một trang web hoàn toàn khác.

Khi lướt web, các cookie trên trình duyệt sẽ tự động lưu lại thông tin mà bạn đã truy cập, bạn hoàn toàn có thể xóa các cookie này đi nếu như không muốn trình duyệt lưu lại, tham khảo cách Tự động xóa Cookie khi đóng trình duyệt tại đây.

Vì các công nghệ thiết kế web hiện tại, các ứng dụng web và trang web không thể phân biệt được giữa các hành động tin cậy được thực hiện bởi người dùng thực và các hành động được thực hiện bởi script tự động, chẳng hạn như script của cuộc tấn công CSRF.

Bằng cách bổ sung hỗ trợ tính năng Same-Site Cookie trong Firefox, các kỹ sư của Mozilla đang cung cấp cho các nhà khai thác trang web một thiết lập mới mà họ có thể cấu hình cho các ứng dụng và cổng của mình để ngăn kẻ tấn công có thể chiếm đoạt cookie và thực hiện các hành vi trái phép.

Trường hợp bạn mốn xóa tất cả cookie trên trình duyệt Chrome, Firefox hay Cốc Côc .... bạn tìm hiểu cách xóa Cookie tại đây

Chủ sở hữu trang web phải thêm hỗ trợ cho thuộc tính SameSite

Tuy nhiên Same-Site Cookie không phải là tính năng bảo mật phụ thuộc vào người dùng cũng như Mozilla. Thuộc tính SameSite phải được chủ sở hữu trang web cài đặt trong HTTP response header của trang web, tương tự như cách mà họ cấu hình trường Set-Cookie header chuẩn.

Theo đặc tả IETF, 2 cài đặt sẽ có sẵn cho các nhà khai thác trang web bao gồm Strict và Lax.

Khi chủ sở hữu trang web sử dụng cài đặt Strict cho trang web của mình, Firefox sẽ từ chối đính kèm các cookie cho các yêu cầu HTTP khác nếu các cookie này không cùng tên miền với URL được tải trong thanh địa chỉ.

Đối với cài đặt Lax, Firefox sẽ tải cookie từ các miền khác nếu người dùng đã truy cập trang web bằng phương thức an toàn. Vì vậy nếu người dùng Facebook click chọn link cho domain.com, thì domain.com với policy lax same-site cookie sẽ tải cookie từ cả domain.com và Facebook, nhưng từ chối làm việc với cookie cho các tên miền khác.

Chrome hỗ trợ tính năng Same-Site Cookie từ phiên bản Chrome 63, được phát hành vào tháng 12 năm ngoái. Các trình duyệt khác hỗ trợ Same-Site Cookie bao gồm Opera (kể từ v51), Chrome cho Android (kể từ v64) và Samsung Internet (kể từ v6.2).

http://thuthuat.taimienphi.vn/firefox-ho-tro-same-site-cookie-34447n.aspx
Với trình duyệt Microsoft Edge dành cho Android mới được cập nhật, người dùng Android đã có thể trải nghiệm Windows Timeline trong Windows 10 với khả năng khôi phục phiên làm việc cũ tiện lợi hơn mà không còn phải mất công tìm kiếm từ lịch sử duyệt.

Tác giả: Nguyễn Thuý Thanh     (4.0★- 14 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Tạo và xóa bookmark trên Firefox
Mozilla mang tính năng tương tự Site Isolation trên Chrome lên Firefox
Firefox Quantum hỗ trợ Ubuntu Linux
Firefox 53 sẽ ngừng hỗ trợ Windows Vista và Windows XP
Firefox 65 hiển thị chứng chỉ sử dụng trong tấn công Man-in-the-Middle SSL
Từ khoá liên quan:

Firefox hỗ trợ Same-Site Cookie

, tính năng Same-Site Cookie, Firefox 60,

SOFT LIÊN QUAN
  • Firefox Download Tool

    Download các phiên bản FireFox

    Firefox Download Tool là công cụ hỗ trợ download nhiều phiên bản khác nhau của trình duyệt Mozilla Firefox về máy. Chương trình có tính di động, không yêu cầu cài đặt, sử dụng được trên nhiều máy tính khác nhau bằng cách chuyển file thực thi vào ổ lưu trữ tháo rời như USB.

Tin Mới

  • Mozilla thử nghiệm nhập chứng chỉ gốc Windows trên Firefox

    Để ngăn chặn các lỗi có thể xảy ra trong tương lai do tính năng quét SSL của nhiều chương trình diệt virus gây ra, Mozilla đang thử nghiệm nhập chứng chỉ gốc Windows trên Firefox, trình duyệt web con cưng..

  • iOS 12.2 có gì mới? Những nâng cấp đáng chú ý

    Sau một loạt các phiên bản beta, cuối cùng Apple cũng chính thức phát hành iOS 12.2 cho người dùng, để tìm hiểu iOS 12.2 có gì mới? Những nâng cấp đáng chú ý, bạn đọc cùng tham khảo bài viết dưới đây của Taimienphi.vn.

  • Đã có thể cài đặt trình duyệt Edge mới dựa trên Chromium

    Trong vài tuần qua xuất hiện nhiều tin đồn, rò rỉ xung quanh trình duyệt Edge mới dựa trên Chromium của Microsoft. Đầu tiên là các ảnh chụp màn hình bị rò rỉ, sau đó đến các tài liệu hỗ trợ, trang tiện ích mở rộng và thậm chí là cả trình cài đặt không hoạt động, tin vui là cuối cùng toàn bộ trình duyệt mới đã bị rò rỉ, người dùng đã có thể cài đặt trình duyệt Edge mới dựa trên Chromium.

  • Số điện thoại tổng đài Agoda đặt phòng khách sạn

    Bạn đang tìm số điện thoại tổng đài Agoda, vậy hãy tham khảo bài viết sau đây. Thông qua số điện thoại Agroda, bạn sẽ được tư vấn cách đặt phòng cũng như đặt được phòng khách sạn nhanh chóng, thuận tiện nhất.


 Mùa hè tới rồi muốn so sánh giá tìm điều hòa giá rẻ nhất thị trường hãy dùng TopGia để so sanh gia có nhiều mẫu dieu hoa để so sanh sanh, xem dieu hoagiá rẻ để so sánh giá