[ad_1]
Como parte de los esfuerzos continuos para mejorar la seguridad del navegador, el equipo de desarrollo de Chrome ha anunciado una nueva implementación de los atributos y requisitos de SameSite para las cookies. El nuevo código utiliza un modelo más estricto "seguro por defecto" para obtener y establecer valores en el navegador. La diferencia es un valor de SameSite impuesto de "Ninguno" más Seguro en contextos de cookies de terceros. Este cambio también facilita a los creadores del navegador proporcionar a los usuarios opciones de administración independientes para cookies propias y de terceros.
Las cookies propietarias con frecuencia contienen información de estado persistente para funciones como el reconocimiento del navegador para conexiones rápidas a sitios a los que los usuarios se han conectado previamente. Los usuarios pueden desear conservarlos pero eliminar las cookies de terceros, que generalmente son rastreadores, debido a problemas de privacidad. Sería bueno poder hacer esto sin el aburrimiento de navegar a través de una enorme lista de sitios web familiares y desconocidos.
El modelo "seguro por defecto"
Para los desarrolladores, la parte importante de esta noticia es principalmente la gestión diferente de las cookies de terceros como parte de la tendencia de seguridad predeterminada en el espacio del navegador. Firefox y Edge se unen a Chrome para implementar la nueva política a partir de febrero. La recientemente anunciada Safari Intelligent Tracking Prevention (ITP) es similar, pero puede manejar las configuraciones de SameSite de manera diferente a las explicadas aquí.
Secure-by-default es una postura defensiva donde solo se establece la más mínima confianza (ninguna) entre las partes en el primer contacto. La escalada de privilegios para acceder a información confidencial, como la recuperación de valores de cookies en un contexto de terceros, requiere una configuración explícita de permisos antes de que el navegador envíe valores. cookies en los encabezados de solicitud del sitio web. Las cookies propietarias tienen un privilegio de infraestructura establecido para la transmisión.
Ejemplo de cookie de YouTube entre sitios
Imagine un usuario que se conecta a YouTube donde se configura una cookie de sesión en el contexto del propietario. La nueva estrategia requiere un valor de atributo SameSite de & # 39; None & # 39; así como una declaración "segura" (SameSite = None; Secure) para permitir explícitamente a YouTube recuperar sus valores de cookies en un contexto de terceros, como para el lector incrustado publicado en un blog externo. Cuando se configuran las cookies y se recuperan los valores de esta manera, a veces en la primera parte y otras en contextos de terceros, se clasifican como cookies entre sitios.
Las cookies entre sitios permiten que un widget de YouTube reconozca el navegador de un usuario conectado y active la opción "Ver más tarde" en la ventana del reproductor de video como un marco incrustado en un sitio externo . Siempre que la cookie original se haya configurado con "SameSite = None; Seguro ", los widgets de YouTube seguirán funcionando normalmente. YouTube ya puede estar haciendo esto en previsión del próximo cambio, y Google también recomienda que se prepare.
Listo para el cambio
Una vez implementado, el nuevo mecanismo de política SameSite requerirá cookies de terceros para autoidentificarse y transmitirse a través de conexiones TLS (https: //), de lo contrario estarán restringidas por el modelo de copia de seguridad asegurado por predeterminados. El atributo SameSite = None requiere la designación Secure, o la directiva se rechaza y las solicitudes se tratan como SameSite = Lax (donde los valores de cookies no se envían en contextos de terceros).
Encontrará algunos consejos sobre cómo probar su implementación de SameSite = None con o (incorrectamente) sin la declaración de seguridad. Las pruebas dedicadas para este comportamiento utilizan los parámetros de configuración de Chrome o Firefox. Para Chrome 76+, se activa con la siguiente dirección:
chrome: // flags / # cookies-without-even-site-must-be-secure
Firefox 69+ en su acerca de: config parámetros que desea establecer lo siguiente:
network.cookie.sameSite.noneRequiresSecure
También puede probar y mostrar las advertencias desde la consola SameSite en las herramientas de desarrollo del navegador cuando implemente SameSite en el contexto de terceros.
Falsificación de solicitudes entre sitios
En el área de seguridad de aplicaciones, la falsificación de solicitudes entre sitios (CSRF) es peligrosa. La nueva política de cookies puede desempeñar un papel en la limitación (pero no en la eliminación) de ataques exitosos utilizando vulnerabilidades CSRF conocidas. La apertura tradicional de la Web permite enviar valores de cookies generosamente y, por lo tanto, es común que los atacantes evalúen las comunicaciones de red en busca de acceso a través de una implementación insegura de cookies. a través de un sitio web.
Nunca almacene secretos de aplicaciones en valores de cookies.
Si bien la seguridad de la aplicación está más allá del alcance de este artículo, los tokens ocultos anti-CSRF en sus formularios web pueden ayudar a garantizar que las solicitudes de acción provengan de usuarios válidos, no de un impostor. que secuestró la sesión activa de un usuario en un punto de acceso público.
Sin embargo, ninguna de estas tácticas es infalible.
Guía de configuración de cookies de SameSite
Hay tres valores posibles para SameSite: Strict, Lax y None. Hasta ahora, nos hemos ocupado principalmente del parámetro Ninguno para el acceso de terceros. No todos los parámetros son relevantes en todos los contextos. Para ayudar a resolver esto y aclarar la confusión sobre el significado del valor "Ninguno", esta guía rápida puede ser útil:
Al configurar cookies propietarias para una aplicación que nunca necesita recuperar valores de cookies en un contexto de terceros, use Strict. Esta configuración es más segura ya que sus valores de cookies no se envían en contextos donde terceros hacen referencia a sus activos y, por lo tanto, pueden recuperar valores simplemente al incluir una imagen suya en su HTML.
El parámetro Lax es idéntico a Estricto, excepto cuando un enlace de retorno de terceros a su aplicación realiza una solicitud segura de TLS (https: //). Los encabezados entrantes para estas visitas se entregarán con los valores de las cookies de páginas de terceros que se refieren a sus activos junto a los enlaces en los que se hizo clic. Los valores de las cookies se envían para que su aplicación pueda actuar en consecuencia y personalizar la configuración para su usuario.
Una configuración None plus Secure (SameSite = None; Secure) es la configuración más liberal que permite el acceso a los valores de cookies en contextos de terceros siempre que las comunicaciones se administren a través de conexiones TLS (https: //). La declaración segura es un requisito con este parámetro. Esto es más adecuado solo para cookies entre sitios, como es el caso del modelo de distribución de widgets de YouTube.
Cuidado con las complejidades
Como se mencionó anteriormente, Safari no ha anunciado la implementación del comportamiento para ‘SameSite = None; Cookies seguras proporcionadas por Chrome, Firefox y Edge. Es importante adoptar estrategias que capturen y administren casos de excepción para Safari y otros. Los navegadores más antiguos de Chrome, Firefox y Edge también son incompatibles con la modificación SameSite. El consejo general es mirar hacia el futuro y hacer que los casos incompatibles con SameSite sean las excepciones para un tratamiento especial, no al revés.
Hay preocupaciones específicas para los desarrolladores de aplicaciones iOS y Android que deberán declarar la configuración de SameSite, incluida la garantía de que las conexiones seguras TLS (https: //) se realicen utilizando API nativa de WebView para cada plataforma. Y, por último, los administradores de TI de inicio de sesión único empresarial (SSO) pueden necesitar restaurar instancias de Chrome en toda la empresa para un comportamiento heredado para que funcione el inicio de sesión único. hasta que se pueda elaborar un plan para cambiar a servicios actualizados.
Recursos para desarrolladores
[ad_2]