Mozilla past werking van SameSite-cookies aan
Mozilla gaat het gedrag van SameSite-cookies in Firefox aanpassen. Deze wijziging zou mogelijk gevolgen kunnen hebben voor sommige websites. Websites kunnen zowel first-party cookies voor hun eigen domein plaatsen, alsmede third-party cookies van externe diensten die op de website actief zijn. Hierbij moet worden gedacht aan cookies van advertentienetwerken, socialmediaplug-ins en widgets.
Via het SameSite-attribuut kan een webontwikkelaar aangeven dat een cookie alleen voor de first-party, of same-site context, toegankelijk is. Het SameSite-attribuut heeft drie mogelijk waardes: none, lax of strict. Wanneer een cookie alleen toegankelijk mag zijn voor de first-party kunnen ontwikkelaars kiezen uit SameSite=Lax of SameSite=Strict.
Weinig ontwikkelaars maken echter gebruik van deze opties, maakte Google eerder al bekend. Daardoor is het mogelijk dat first-party cookies kunnen worden gebruikt voor aanvallen via cross-site request forgery (CSRF). Hiermee kan een kwaadaardige website cookies van een andere website voor een aanval te gebruiken. Om dit tegen te gaan moet volgens Mozilla het gedrag van browser worden aangepast, en moeten websitebeheerders ook zorg dragen voor de juiste afhandeling.
Standaard zal Firefox straks de instelling 'SameSite=Lax' behandelen. Cookies worden dan niet op verzoek van andere websites verstrekt. Zodra websites voor cookies de optie SameSite=None gebruiken, zodat ze ook voor andere websites toegankelijk zijn, moet het aanvullende "Secure" attribuut worden toegevoegd. Dit zorgt ervoor zorgt dat cookies enkel via https-verbindingen benaderbaar zijn.
Mozilla heeft de maatregel momenteel uitgerold onder de helft van de gebruikers die de beta-versie van Firefox draaien. Er wordt nu gekeken wat de impact op bezochte websites is. Momenteel heeft Google deze wijziging ook al toegevoegd aan Chrome.
Gerelateerde nieuwsberichten
04/03/2020 Browsers gaan ondersteuning voor oudere TLS-protocollen stoppen
13/02/2019 Firefox gaat auto-play video's voorzien van geluid blokkeren
15/01/2019 Mozilla stopt in september met standaard gebruik van Adobe Flash
Om te reageren heb je een account nodig en je moet ingelogd zijn.