Конец CSRF близок?04.08.2017 10:04

Комментарии (5)

dartraiden

4 августа 2017 в 03:41 (комментарий был изменён)

0

↑

↓

Оригинал: https://www.kuoll.com/the-end-of-csrf/
Судя по всему, это урезанная версия этой статьи.
- Kirylka
  
  4 августа 2017 в 04:04
  
  0
  
  ↑
  
  ↓
  
  Судя по всему так и есть. Находил до этого только http://www.sjoerdlangkemper.nl/2016/04/14/preventing-csrf-with-samesite-cookie-attribute/
dartraiden

4 августа 2017 в 03:49 (комментарий был изменён)

–1

↑

↓

Пишут, что внедрение поддержки SameSite неактуально, поскольку Google предлагает на замену ей Cookie Prefixes, поддержка которых уже реализована в Crome 49+ и Firefox 50+.
- Kirylka
  
  4 августа 2017 в 04:07 (комментарий был изменён)
  
  +1
  
  ↑
  
  ↓
  
  На удивление мало информации о Cookie Prefixes в интернетах. Надо будет проработать и, если разберусь досконально, напишу здесь. P.S. Добавил ссылку на оригинал оригинала:)
- neolink
  
  4 августа 2017 в 09:19 (комментарий был изменён)
  
  0
  
  ↑
  
  ↓
  
  судя по тому, что расположено по вашей ссылке это ограничения на установку куки. т.е. грубо говоря защита от того, что кто-то на поддомене инжектнет в браузер куку на основной домен. https://tools.ietf.org/html/draft-west-cookie-prefixes-05 в Introduction об этом написано, как бы это не пересекающийся кейс с csrf