Samesite Cookies Windows Ataques Csrf

Windows 10 April 2018 Update, la actualización más reciente del SO de Microsoft trajo consigo varias novedades interesantes, que sin duda serán de gran utilidad, una de ellas es el hecho de poder compartir archivos entre diferentes ordenadores sin necesidad de que estén conectados en red, además de las  herramientas de recorte y portapapeles, ahora Microsoft presentó una herramienta que mejorará la seguridad del usuario.

Desde el blog de Windows, anunciaron que la compilación 17672 de Windows Insider será compatible con el estándar SameSite Cookies de Microsoft Edge. Las Cookies son archivos creados por un sitio web para guardar pequeña información que se envía entre servidor y el navegador.

Las SameSite Cookies permiten una mayor protección para los usuarios contra los ataques de falsificación de solicitudes entre sitios (CSRF) o Cross-Site Request Forgery, por sus siglas en inglés.

Recordemos que,  los ataques CSRF oueden ejecutarte cuando sitios como example.com (por ejemplo) que realizan peticiones a otros dominios como microsoft.com envíen las cookies asociadas a este dominio automáticamente por el navegador, independientemente si se trata de microsoft.com o no (por ejemplo).

Normalmente, los atacantes se benefician de esto, pues pueden forzar peticiones hacia esta web desde un dominio externo, sin importar desde dónde se originó esa solicitud.

Desafortunadamente, esta es una puerta para los ataques CSRF. Por lo que las Same-Site Cookies representa una valiosa adición en defensa contra este tipo de ataques

Con SameSite Cookies, los sitios ahora pueden establecer el atributo SameSite en las cookies de su elección mediante el encabezado Set-Cookie o mediante la propiedad JavaScript document.cookie, evitando así que el navegador envío cookies de forma predeterminada en todas las solicitudes entre sitios..

El nuevo estándar está creado para ofrecer un mayor control a la hora de compartir las cookies de acceso a sitios indeseados. Esta nuevo SameSite Cookies estará disponible para Internet Explorer y Microsoft Edge, y de acuerdo con Microsoft, versiones anteriores de Windows 10 también podrán implementarlo.

Más en TekCrispy