Firefox hỗ trợ Same-Site Cookie, chống lại các cuộc tấn công CSRF

Các kỹ sư của Mozilla đang có kế hoạch bổ sung tính năng bảo mật mới cho trình duyệt với việc bổ sung hỗ trợ Same-Site Cookie trên Firefox 60, dự kiến sẽ được phát hành vào ngày 9/5 tới đây. Theo đó Firefox hỗ trợ Same-Site Cookie, chống lại các cuộc tấn công CSRF

Firefox hỗ trợ Same-Site Cookie, chống lại các cuộc tấn công CSRF sẽ chặn các trang web tải cookie được tải xuống từ các miền khác, không khớp với URL trong thanh địa chỉ của Firefox. Chẳng hạn nếu tính năng Same-Site Cookie được kích hoạt trên trang web, Firefox sẽ không tải các cookie từ facebook.com nếu người dùng hiện tại đang truy cập domain.com.

firefox ho tro same site cookie

Firefox hỗ trợ Same-Site Cookie, chống lại các cuộc tấn công CSRF

Same-site cookie hỗ trợ chống lại các cuộc tấn công CSRF

Các nhà phát triển Firefox cho biết, tính năng Same-Site Cookie (hay còn được gọi là SameSite) sẽ hỗ trợ bảo vệ người dùng chống lại các cuộc tấn công Cross-Site Request Forgery (CSRF).

CSRF xảy ra khi kẻ tấn công đánh lừa người dùng thực hiện hành động nhưng giả mạo một hoạt động khác trên nền background. Ví dụ người dùng có thể click vào liên kết độc hại, nhưng kẻ tấn công sử dụng click chuột để gửi cài đặt tài khoản đã được sửa đổi trên một trang web khác bằng cách chiếm đoạt cookie cục bộ.

Điều này xảy ra thường xuyên vì trình duyệt tự động đính kèm cookie được gửi cho mọi yêu cầu của trình duyệt cho một miền cụ thể. Kẻ tấn công lạm dụng cơ chế "tự động thêm cookie" này để thực hiện yêu cầu tới các trang web khác, chiếm đoạt các cookie được lưu trữ cục bộ của người dùng để thực hiện các hoạt động trái phép trên các trang web hợp lệ mà người dùng không hề hay biết, trong khi người dùng đang ở một trang web hoàn toàn khác.

Khi lướt web, các cookie trên trình duyệt sẽ tự động lưu lại thông tin mà bạn đã truy cập, bạn hoàn toàn có thể xóa các cookie này đi nếu như không muốn trình duyệt lưu lại, tham khảo cách Tự động xóa Cookie khi đóng trình duyệt tại đây.

Vì các công nghệ thiết kế web hiện tại, các ứng dụng web và trang web không thể phân biệt được giữa các hành động tin cậy được thực hiện bởi người dùng thực và các hành động được thực hiện bởi script tự động, chẳng hạn như script của cuộc tấn công CSRF.

Bằng cách bổ sung hỗ trợ tính năng Same-Site Cookie trong Firefox, các kỹ sư của Mozilla đang cung cấp cho các nhà khai thác trang web một thiết lập mới mà họ có thể cấu hình cho các ứng dụng và cổng của mình để ngăn kẻ tấn công có thể chiếm đoạt cookie và thực hiện các hành vi trái phép.

Trường hợp bạn mốn xóa tất cả cookie trên trình duyệt Chrome, Firefox hay Cốc Côc .... bạn tìm hiểu cách xóa Cookie tại đây

Chủ sở hữu trang web phải thêm hỗ trợ cho thuộc tính SameSite

Tuy nhiên Same-Site Cookie không phải là tính năng bảo mật phụ thuộc vào người dùng cũng như Mozilla. Thuộc tính SameSite phải được chủ sở hữu trang web cài đặt trong HTTP response header của trang web, tương tự như cách mà họ cấu hình trường Set-Cookie header chuẩn.

Theo đặc tả IETF, 2 cài đặt sẽ có sẵn cho các nhà khai thác trang web bao gồm Strict và Lax.

Khi chủ sở hữu trang web sử dụng cài đặt Strict cho trang web của mình, Firefox sẽ từ chối đính kèm các cookie cho các yêu cầu HTTP khác nếu các cookie này không cùng tên miền với URL được tải trong thanh địa chỉ.

Đối với cài đặt Lax, Firefox sẽ tải cookie từ các miền khác nếu người dùng đã truy cập trang web bằng phương thức an toàn. Vì vậy nếu người dùng Facebook click chọn link cho domain.com, thì domain.com với policy lax same-site cookie sẽ tải cookie từ cả domain.com và Facebook, nhưng từ chối làm việc với cookie cho các tên miền khác.

Chrome hỗ trợ tính năng Same-Site Cookie từ phiên bản Chrome 63, được phát hành vào tháng 12 năm ngoái. Các trình duyệt khác hỗ trợ Same-Site Cookie bao gồm Opera (kể từ v51), Chrome cho Android (kể từ v64) và Samsung Internet (kể từ v6.2).

https://thuthuat.taimienphi.vn/firefox-ho-tro-same-site-cookie-34447n.aspx
Với trình duyệt Microsoft Edge dành cho Android mới được cập nhật, người dùng Android đã có thể trải nghiệm Windows Timeline trong Windows 10 với khả năng khôi phục phiên làm việc cũ tiện lợi hơn mà không còn phải mất công tìm kiếm từ lịch sử duyệt.

Tác giả: Trần Khởi My     (4.0★- 14 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Mozilla Firefox 86 ra mắt với tính năng tăng cường bảo mật Total Cookie Protection mới
Firefox sẽ sớm đánh dấu các trang web đã bị tấn công
Tạo và xóa bookmark trên Firefox
Firefox - Khắc phục lỗi Plugin của công cụ hỗ trợ Flash Player
Firefox hỗ trợ gửi Tab đến kính thực tế ảo với Firefox Reality
Từ khoá liên quan:

Firefox hỗ trợ Same-Site Cookie

, tính năng Same-Site Cookie, Firefox 60,

SOFT LIÊN QUAN
  • Firefox Download Tool

    Download các phiên bản FireFox

    Firefox Download Tool là công cụ hỗ trợ download nhiều phiên bản khác nhau của trình duyệt Mozilla Firefox về máy. Chương trình có tính di động, không yêu cầu cài đặt, sử dụng được trên nhiều máy tính khác nhau bằng cách chuyển file thực thi vào ổ lưu trữ tháo rời như USB.

Tin Mới