Trong bản phát hành Windows 10 build 17672 hôm qua, gã khổng lồ phần mềm bổ sung và cải tiến thêm nhiều tính năng mới cho trình duyệt web của mình. Theo đó Microsoft bắt đầu thử nghiệm Same-Site Cookie trên Windows 10
Trong số danh sách các cải tiến quan trọng mà Microsoft triển khai trong bản phát hành Windows 10 build 17672, không thể không kể đến hỗ trợ Same-Site Cookie trên trình duyệt Microsoft Edge và Internet Explorer 11.
Để tìm hiểu Cookie là gì, bạn tham khảo bài viết Cookie là gì tại đây
Trong bài đăng trên blog, được đăng tải vào hôm nay công ty đã giải thích chi tiết việc bổ sung hỗ trợ Same-Site Cookie trên trình duyệt nhằm mục đích bảo vệ người dùng khỏi các cuộc tấn công CSFR (cross-site request forgery). Nhà phát triển web có thể thiết lập thuộc tính SameSite trên cookie trên trang web của họ, điều này để ngăn cookie được gửi từ trang web đến các miền bên ngoài.
Microsoft bắt đầu thử nghiệm Same-Site Cookie trên Windows 10
Trước đây các trang web như example.com tạo các "cross-origin request" tới các tên miền khác như microsoft.com, điều này khiến trình duyệt gửi cookie của microsoft.com như một phần của request.
Thường thì người dùng được hưởng lợi bằng cách sử dụng lại một số trạng thái (chẳng hạn như trạng thái đăng nhập) trên các trang web bất kỳ yêu. Tuy nhiên kẻ tấn có thể lợi dụng điều này để thực hiện các cuộc tấn công, điển hình là cuộc tấn công CSRF. Same-Site cookie có giá trị trong việc bảo vệ chiều sâu chống lại các cuộc tấn công CSRF.
Bây giờ các trang web có thể thiết lập thuộc tính SameSite trên cookie mà họ chọn thông qua tiêu đề Set-Cookie hoặc sử dụng thuộc tính document.cookie JavaScript để ngăn chặn hành vi trình duyệt mặc định gửi cookie trong cross-site request hoặc trong tất cả cross-site request (thông qua giá trị "strict") hoặc chỉ một số yêu cầu ít nhạy cảm hơn (thông qua giá trị "lax").
Cụ thể hơn, nếu thuộc tính strict được chỉ định khi một same-site cookie được thiết lập, nó sẽ không được gửi cho bất kỳ cross-site request nào, bao gồm click vào các link từ các trang web bên ngoài. Vì trạng thái đăng nhập được lưu trữ dưới dạng cookie SameSite=Strict, khi người dùng click chọn link này nó sẽ xuất hiện như thể người dùng chưa đăng nhập.
Mặt khác nếu thuộc tính lax được chỉ định khi một same-site cookie được thiết lập, nó sẽ không được gửi cho cross-origin sub-resource request chẳng hạn như hình ảnh. Tuy nhiên cookie SameSite=Lax sẽ được gửi khi điều hướng từ một trang web bên ngoài, chẳng hạn như khi click chọn link.
Đối với các nhà phát triển lo lắng về tính tương thích ngược, Microsoft đã làm rõ các trình duyệt không hỗ trợ same-site cookie sẽ bỏ qua thuộc tính và xử lý các process theo yêu cầu, tức là tính năng này không ảnh hưởng tiêu cực đến các trình duyệt không hỗ trợ tính năng.
Same-Site Cookie hiện đang được thử trong nhánh phát triển Redstone 5. Microsoft cho biết tính năng này sẽ được thêm vào trình duyệt Microsoft Edge và Internet Explorer 11 trên Windows 10 Creators Update và các phiên bản cao hơn.
Nếu không muốn trang web lữu trữ lịch sử, cookie, bạn tham khảo cách xóa lịch sử, xóa cookie trình duyệt web tại đây.
Trường hợp muốn xóa cookie tự động khi đóng các trình duyệt web của mình lại, bạn xem cách tự động xóa cookie khi đóng trình duyệt tại đây
https://thuthuat.taimienphi.vn/microsoft-bat-dau-thu-nghiem-same-site-cookie-35218n.aspx
Mặc dù mới được thử nghiệm trên Windows 10 nhưng Same-Site Cookie đã có trên trình duyệt Firefox và Chrome từ lâu. Bên cạnh đó, để đảm bảo người dùng của mình trở nên an toàn một cách tối đa, Chrome loại bỏ chỉ báo Secure khỏi trang web HTTPS vào tháng 9 là một phần trong kế hoạch "HTTPS 100%" để tất cả những trang web được tải trong Chrome đều sử dụng giao thức HTTPS an toàn.