The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Firefox 60 появится защита от CSRF-атак

26.04.2018 10:42

Разработчики Mozilla сообщили о включении в кодовую базу браузера Firefox 60, выпуск которого намечен на 9 мая, поддержки Cookie-атрибута SameSite, позволяющего web-разработчикам определять ситуации, в которых допустима передача Cookie при поступлении запроса со стороннего сайта. В настоящее время, браузер передаёт Cookie на любой запрос к сайту, для которого имеются выставленные Cookie, даже если изначально открыт другой сайт, а обращение осуществляется косвенно при помощи загрузки картинки или через iframe.

Злоумышленники пользуются данной особенностью для организации CSRF-атак - при открытии подконтрольного атакующим ресурса с его страниц скрыто отправляется запрос на другой сайт, на котором аутентифицирован текущий пользователь, что позволяет, например, от имени пользователя выполнить команду в активном web-интерфейсе другого сайта. Атрибут SameSite позволяет блокировать подобные атаки, допуская отправку Cookie только в ответ на запросы, инициированные с сайта, с которого эти Cookie изначально были получены. Запросы, отправленные с URL, который не совпадает адресом назначения, будут приходить без выставленных для целевого сайта Cookie.

Атрибут SameSite может принимать два значения ‘strict’ или ‘lax’. В режиме 'strict' Cookie будут удерживаться от отправки для любых видов межсайтовых запросов, включая все входящие ссылки с внешних сайтов - пользователь кликнувший на ссылку перехода будет считаться не аутентифицированным на целевом сайте, независимо от наличия активного сеанса с этим сайтом. В режиме 'lax' будут применяться более мягкие ограничения и передача Cookie будет блокироваться только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe. При переходе по ссылке в режиме 'lax' Cookie будут передаваться как раньше с сохранением активного сеанса.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: План развития функциональности Firefox на 2018 год
  3. OpenNews: Выпуск сервера web-конференций Apache OpenMeetings 3.3 с устранением 11 уязвимостей
  4. OpenNews: Серия уязвимостей и инженерный пароль в беспроводных точках доступа Moxa
  5. OpenNews: Система защищённых коммуникаций Nomx оказалась примером халатного отношения к безопасности
  6. OpenNews: Поучительный опыт информировния банков об уязвимостях
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/48496-csrf
Ключевые слова: csrf, firefox
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (50) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:11, 26/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Наконец-то. Теперь сайты со временем откажутся от костыля в виде проверки рефереров и их спуфинг не будет потенциально ухудшать безопасность.
     
     
  • 2.5, Xasd (ok), 11:41, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Наконец-то. Теперь сайты со временем откажутся от костыля в виде проверки рефереров
    > и их спуфинг не будет потенциально ухудшать безопасность.

    вообще проверяют CSRFToken а не referrer

     
     
  • 3.6, Аноним (-), 11:42, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то не везде. Для многих было нормой смотреть на реферер. Если там своё, то значит норм. А о спуфинге не думали.
     
     
  • 4.10, Аноним (-), 12:08, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так работает панель управления у OVH.
     
  • 3.8, Аноним (-), 11:58, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +24 +/
    Сначала понапридумывают разных мутных технологий, а потом героически борются с последствиями - это все что вам нужно знать про современное ИТ.
     
     
  • 4.20, dq0s4y71 (ok), 13:24, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А потом приходит школота, которая сама ни одной технологии ещё не изобрела, и начинает рассказывать, какие мутные были технологии.
     
     
  • 5.24, Аноним (-), 13:48, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    А потом появляются умельцы которые создают проблемы которые не решаются существующими инструментами и сооружают для них набор костылей. Например, "Я умею пользоваться стамеской и молотком и поэтому когда я буду у дантиста, я их возьму с собой и заставлю врача ими пользоваться". Или, применю-ка я в протоколе изначально созданном для выдачи текста, новые модные слои абстракций для создания у пользователя иллюзии, о том что он пользуется десктопным приложением. Му-ха-ха!
     
  • 4.33, noise_poise (?), 17:41, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Web-Monkeys, sir!
     
  • 4.44, imprtat (ok), 23:03, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Человек ищет решение одной проблемы создавая другую, так было всегда, и это относится к любой сфере.
     
  • 4.48, Аноним (-), 03:25, 27/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Cookie появились в 1995 году. С тех пор csrf атака уже была возможно, просто до неё сильно не сразу додумались.

    Причём тут современное ИТ?

     
     
  • 5.54, Jh (?), 11:48, 28/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    так оно любит тянуть древность, ради совместимости
     

  • 1.2, Аноним (-), 11:12, 26/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Firefox радует =)
    https://www.opennet.ru/opennews/art.shtml?num=48312
     
     
  • 2.3, Анонимомус (?), 11:30, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Еще в 60 версии появится возможность подстановки прокси по каждому запросу, можно будет более гибко управлять проксями, в частности, использовать разные для различных контейнеров https://developer.mozilla.org/en-US/Add-ons/WebExtensions/API/proxy/onRequest
     
     
  • 3.12, Аноним (-), 12:15, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    По url станет возможно определять? Сейчас вебэксты только по доменам могут.
     
     
  • 4.15, Анонимомус (?), 12:39, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Можно таб определять, рабочий прототип(background.js):

    var proxyByContainer = {
    'firefox-default': {type: 'direct'},
    'firefox-container-1': {type: 'socks', host: '127.0.0.1', port: 9050},
    'firefox-container-2': {type: 'socks', host: '127.0.0.1', port: 9050},
    'firefox-container-3': {type: 'socks', host: '127.0.0.1', port: 9050},
    'firefox-container-4': {type: 'socks', host: '127.0.0.1', port: 9050}
    };

    browser.proxy.onRequest.addListener(function(requestInfo) {
    return new Promise(function(resolve, reject) {
    browser.tabs.get(requestInfo.tabId)
    .then(tab => resolve(proxyByContainer[tab.cookieStoreId]))
    .catch(() => resolve({type: 'direct'}));
    });
    }, {urls: ['<all_urls>']});

     

  • 1.4, Xasd (ok), 11:37, 26/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    отличная попытка Мозилка но опять к сожалению *промах* !

    такого рода защита не работает в случае когда она "поумолчанию отключена"! (пора бы уже было понять -- после введения такой кучи так называемых "защит" -- которые так и не привели к результату)

    многие CSRF уязвимости существуют не потому что авторы-забагованных-сайтов якобы где-то явно накосячили -- а именно потому-что они даже *не_знали* что поумолчанию CSRF требуют закрывать себя (если не закрыл -- то значит CSRF-дары есть).

     
     
  • 2.7, КО (?), 11:46, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Смотря по чему стреляли.
    Описанная в рекламной брошюре галиматья с авторизацией применима только для авторизации непосредственно по тому же адресу, а любое SSO, авторизация по социальным сетям и пр. тту же отваливают. Ибо они на другом адресе.
    А вот прочие куки можно будет стопорить. Только вот рекламщик свои куки стопорить не будет.
     
     
  • 3.9, Xasd (ok), 11:58, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    во первых -- что сломается -- починят в течении дня (владельцы сайтов).

    во вторых -- кто мешает сделать маленькую кнопочку в браузере "Disable Protection For This Site" -- для ситуации когда какой-то маловажный сайт (но оказавшийся важным ВОТ СЕЙЧАС!) не хочет рабатать безопасно и требует наличия CSRF-дыры

     
     
  • 4.13, Аноним (-), 12:23, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > во вторых -- кто мешает сделать маленькую кнопочку в браузере "Disable Protection For This Site" -- для ситуации когда какой-то маловажный сайт (но оказавшийся важным ВОТ СЕЙЧАС!) не хочет рабатать безопасно и требует наличия CSRF-дыры

    Потому что юзеры тупые, не надо такое добавлять. Посмотри в соседнюю новость со взловом криптосайта. Все юзеры, отдавшие 134к$ нажали игнорирование в красном полотне о невалидном сертификате.
    Ну и это тут тоже работает:
    >  во первых -- что сломается -- починят в течении дня (владельцы сайтов).

     
  • 4.39, КО (?), 19:45, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >во первых -- что сломается -- починят в течении дня

    Вы не поняли, там ломается принцип. Смотрю адрес А, куки на адрес Б (сервер авторизации) не отправляются -> нет никакой авторизации на куках. Альтернатива, если я ничего не путаю - кроссдомайные скрипты. :)

     
  • 2.16, Аноним (-), 12:47, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Поругали Мозилка и пожалели авторы-забагованных-сайтов Или Я неправильно Ва... большой текст свёрнут, показать
     
     
  • 3.22, Аноним (-), 13:30, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Может быть Вы предлагаете "Мозилка" сделать так делают власти в некоторых странах,
    > "рубанем Телеграм и трава не расти". А то что потом половина
    > Интернета не работает, так это как раз и хорошо, результат "заботы"
    > о гражданах на лицо ;)

    Не совсем тоже самое, но очень похоже, да. Просто властьимущие будут с нас бабки в виде налогов рубить, а всякие трекеры приносят доход владельцу (нет, не ресурса, трекера).

     

  • 1.11, svsd_val (ok), 12:08, 26/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    А когда они победят меморилики ? Стоит оставить его с 15ю открытыми вкладками, как он за день два выедает 6гб ОЗУ!
     
     
  • 2.14, Вы забыли заполнить поле Name (?), 12:25, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да вы уже достали под каждой новостью про ff писать про нехватку ресурсов. Может проблема в открытых сайтах? В голову не приходило, что и в js бывают утечки памяти?
     
     
  • 3.18, Полее (?), 12:55, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Увы, это правда - утечки памяти огромные. Да, сейчас много пофиксили, да и если не следить, то можно и не заметить. Но утечки и сейчас остались как правило на мультимедийных и видео-сайтах. Иногда при закрытии вкладок память освобождается, а иногда так и остается висеть одна пустая вкладка с 1,5 ГБ выделенной памяти
     
  • 3.36, svsd_val (ok), 18:43, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Проверял, никаких медиа не открыто было, и всё равно он сожрал.
    Теперь по поводу JS, разве браузер не должен следить за этим ? О_о. И что это за браузер который нужно перезапускать раз в 1-2 дня что бы не превышал планок 6гб озу ? Если нужен список открытых сайтов могу выложить, убедитесь что медиа там нет.
     
  • 3.41, Ordu (ok), 20:58, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не, фф отжирает ресурсы, реально. Раз в две недели его приходится перезапускать, иначе оперативка забита файрфоксом, своп тоже забит файрфоксом. При попытке скомпилировать что-нибудь, система встаёт колом. Рестарт файрфокса спасает ситуацию.
     
  • 2.19, th3m3 (ok), 12:55, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Никогда не было такой проблемы. Хоть 100 вкладок на целый день оставляй.
     
     
  • 3.23, Аноним (-), 13:33, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    а мнения хакиров, отключивших многопроцессность, тут не спрашивали
     
     
  • 4.28, th3m3 (ok), 16:52, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всё включено. Не было как без многопроцессности, так и с ней. Всем доволен.
     
     
  • 5.37, svsd_val (ok), 18:46, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как долго ФФ не выключается ?? 4...?? 8 часов ??
    Если хочешь пруфы запусти на 10ти открытых вкладках, на достаточно простых сайтах, оставь на несколько дней, получи пруфы, либо опровергни..
     
     
  • 6.43, th3m3 (ok), 21:11, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Часов 12 и больше. На ночь вырубаю ноут.
     
  • 3.35, svsd_val (ok), 18:40, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А ты проверь, оставь на несколько дней, а уже потом говори.
     
     
  • 4.45, GG (ok), 01:35, 27/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У меня второй месяц висит запущенный с тремя десятками активных вкладок.
    Проблем никаких, в отличие от хромиума, дохнущего от пяти вкладок через пару дней.

    Просто если какой-то рукожoп очень хочет помайнить что-нибудь на яваскрипте — ФФ ему не запрещает.
    Но это проблемы рукожoпия и посещения гoвносайтов, а не ФФ.

     
     
  • 5.51, svsd_val (ok), 04:31, 27/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вполне вероятно, попробую отрубить JS посмотрю, как на тех же вкладках без него будет жить...
     
  • 2.21, Аноним (-), 13:27, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А вот вам и урок - не ставить свежую мозиллу, покуда не протестируют. Лучше ESR пользоваться.
     
  • 2.25, llolik (ok), 14:29, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://imgur.com/iOd8KJW
    Firefox открыт третий день компьютер не выключался (ночами стоял на ждущем), FF плотно используется. Где ~6Гб? Может они при каких-то определённых условиях утекают?
     
     
  • 3.27, Аноним (-), 16:41, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > https://imgur.com/iOd8KJW

    А что это у вас RSS странно складывается: 186+222+234+(непонятно сколько ещё процессов Экономного Браузера не попало на скриншот)=426?

     
     
  • 4.29, llolik (ok), 16:56, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> https://imgur.com/iOd8KJW
    > А что это у вас RSS странно складывается: 186+222+234+(непонятно сколько ещё процессов
    > Экономного Браузера не попало на скриншот)=426?

    У меня три процесса стоит (пруф. https://imgur.com/eHzGcEx) соответственно процессов тоже 3.
    ЗЫ. Предвосхищая, у меня не всегда три вкладки открыто. Это уже работа на сегодня закончилась :)


     
  • 3.34, Аноним (-), 17:47, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Может они при каких-то определённых условиях утекают?

    Когда руки растут из (_о_) и КГБ/ФБР (анти?)вирусы стоят.

     
     
  • 4.40, Аноним (-), 20:51, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > ГБ/ФБР (анти?)вирусы стоят

    немодно, ненадежно. достаточно запуска программ типа ff.

     
  • 3.38, svsd_val (ok), 19:05, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > https://imgur.com/iOd8KJW
    > Firefox открыт третий день компьютер не выключался (ночами стоял на ждущем), FF
    > плотно используется. Где ~6Гб? Может они при каких-то определённых условиях утекают?

    Не вопрос, выполни и скинь в студию?:
    ps -ewo rss,pid,lstart,euser,etime,time,cmd --sort %mem | grep -v grep | grep -i firefox | awk '{printf $1/1024 "MB"; $1=""; print }'


    >Может они при каких-то определённых условиях утекают?

    Вероятность есть, на работе волею судьбы пользуемся OTRS, вполне может быть что и она причина, проверю, до этого ставили одни и те же влкадки, проверяли на двух разных ОС, ...


    Вот скрин:
    https://imgur.com/a/j1aWxFr
    Как видно за 14 часов уже не хило так отхватил, 2.5гб.

     
     
  • 4.46, GG (ok), 01:38, 27/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А у меня за два месяца всего 550 мегабайт.
    Чини руки.
     
     
  • 5.49, svsd_val (ok), 04:06, 27/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Причём тут руки О_о ? Или Вы хотите сказать я самолично гадил в коде ФФ и пересобирал Его, для каких то непонятных целей ?
    Зная аудиторию могу сказать что есть некоторые неадекваты которые могут говорить что всё что угодно, пруфы скинь:
    ps -ewo rss,pid,lstart,euser,etime,time,cmd --sort %mem | grep -v grep | grep -i firefox | awk '{printf $1/1024 "MB"; $1=""; print }'  
     
  • 4.52, llolik (ok), 08:45, 27/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Не вопрос, выполни и скинь в студию?:

    Для чистоты эксперимента, машину перезагрузил, и запустил FF начисто. Открыл несколько вкладок и закинул на дальний рабочий стол, до которого всё равно не добираюсь (сделано для того, чтобы процессы не умирали). Работать буду как обычно, результаты за сутки, если ничего экстраординарного не случится (ноут не повиснет, проще говоря), завтра напишу в этот же тред.
    Со старта результат https://pastebin.com/Zr8bV4ry

    > Как видно за 14 часов уже не хило так отхватил, 2.5гб.

    Если не секрет, сколько памяти стоит на машинах? У меня есть подозрение, не подкреплённое, впрочем, ничем, чисто интуитивное, что FF каким-то образом берёт память в зависимости от общего объёма. У меня 8Гб и я выше 2,5-3Гб суммарно не видел. Хотя не исключаю, что по результатам этого эксперимента увижу :)

     
  • 4.53, llolik (ok), 10:13, 28/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Не вопрос, выполни и скинь в студию?:

    Результат через сутки использования: https://pastebin.com/JcStW4VB - суммарно ~1.4Gb
    Результат после принудительного запуска GC и CC: https://pastebin.com/H6qKAVj4 - суммарно ~1.2Gb
    Расход от стандартного повседневного не очень отличается.

    В принципе, у FF есть about:memory (выглядит вот так https://imgur.com/dhiTHXx), в котором можно смотреть на что расходуется память, делать снапшоты (и логи GC и СС) и сравнивать их. Может попробуете отследить, что так радикально ест память.

     
  • 3.42, Ordu (ok), 21:00, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > https://imgur.com/iOd8KJW
    > Firefox открыт третий день компьютер не выключался (ночами стоял на ждущем), FF
    > плотно используется. Где ~6Гб? Может они при каких-то определённых условиях утекают?

    Ну три дня любой дурак сможет. Ты попробуй его не закрывать месяц.

     
     
  • 4.47, GG (ok), 01:39, 27/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Второй месяц не закрываю, 550 мегабайт.

    До этого полгода висел, проблем не наблюдалось.

     
     
  • 5.50, svsd_val (ok), 04:07, 27/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скинь пруфы ?
    ps -ewo rss,pid,lstart,euser,etime,time,cmd --sort %mem | grep -v grep | grep -i firefox | awk '{printf $1/1024 "MB"; $1=""; print }'
     
  • 2.31, Shevchuk (ok), 17:23, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не испытываю подобных проблем, но если нет необходимости в постоянной работе этих вкладок всё время, то:

    Auto tab discard: https://addons.mozilla.org/ru/firefox/addon/auto-tab-discard/

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру