Edge en IE krijgen extra bescherming tegen CSRF-aanvallen

[Captain Kirk]

Microsoft gaat een maatregel aan Edge en Internet Explorer toevoegen die gebruikers extra bescherming tegen cross-site request forgery (CSRF) aanvallen moet bieden. Bij een CSRF-aanval worden kwaadaardige acties vanuit de browser van de gebruiker uitgevoerd.

Daardoor lijkt het voor een webapplicatie dat het de gebruiker is die de acties uitvoert, terwijl het in werkelijkheid om acties van een aanvaller gaat. Om dergelijke aanvallen tegen te gaan gaat Microsoft same-site cookies in Edge en IE ondersteunen. Bij elk verzoek naar een website stuurt de browser een cookie mee. De meeste websites maken van dit mechanisme gebruik om te bepalen of gebruikers zijn ingelogd.

Het feit dat cookies automatisch met elk verzoek van de browser worden meegestuurd kan door aanvallers worden misbruikt om gebruikers ongewenste acties uit te laten voeren op de website waar ze op dat moment zijn ingelogd. Een aanvaller die controle over third-party code op de website heeft kan vervolgens in naam van de gebruiker acties op die website uitvoeren.

De huidige webarchitectuur biedt op dit moment geen mogelijkheid voor websites om op betrouwbare wijze onderscheid te maken tussen de acties van een gebruiker of die van een third-party script. Het same-site cookie kan hierbij echter uitkomst bieden. Het same-site cookie attribuut laat een website aan de browser weten dat cookies alleen moeten worden verstuurd als het verzoek afkomstig is van de website waar ook het cookie vandaan komt. Verzoeken die van andere url's afkomstig zijn dan van de url die in de adresbalk staat vermeld zullen geen van de cookies met dit nieuwe attribuut bevatten.

Het same-site-attribuut kent twee modes waar websites uit kunnen kiezen; een strenge en een lakse mode. Dit bepaalt onder andere wanneer een gebruiker als ingelogd wordt beschouwd na het openen van een link op een externe website. Same-site cookies zijn backwards compatibel. Browsers die het niet ondersteunen zullen het attribuut negeren en het cookie als een normaal cookie beschouwen. Microsoft heeft de maatregel nu al in een testversie van Edge doorgevoerd. Eerder kondigde ook Mozilla aan dat het same-site cookies in Firefox gaat ondersteunen.

 

 

bron: security.nl