موزیلا این هفته اعلام کرد که در نسخه ی ۶۰ فایرفاکس به منظور محافظت از کاربران در برابر حملات جعل درخواست بین وب سایتی (CSRF)، پشتیبانی از ویژگی کوکی سایت-یکسان را معرفی خواهد کرد.
حملات CSRF به مهاجمان اجازه می دهند تا از طرف کاربران تاییدشده و با بازدید آن ها از یک صفحه ی وب جعلی، فعالیت های غیرمجاز بر روی وب سایت انجام دهند. در این نوع حملات، از این واقعیت استفاده میشود که هر درخواست به وبسایت شامل کوکیهایی بوده و وبسایتهای بسیاری برای اهداف احراز هویت از این کوکیها استفاده میکنند.
موزیلا اشاره کرد که معماری فعلی وب به وبسایتها اجازه نمیدهد که بااطمینان این موضوع را تعیین کنند که آیا یک درخواست بهصورت قانونی توسط کاربر آغاز شده و یا از یک اسکریپت شخص ثالث دریافت شده است.
اعضای گروه امنیتی موزیلا توضیح دادند: «برای حل این مشکل، ویژگی کوکی سایت-یکسان به یک برنامهی وب اجازه میدهد تا به مرورگر دستور دهد که کوکیها فقط باید درصورتی ارسال شوند که از همان وبسایت درخواستکننده باشند. درخواستهایی که از یک URL متفاوت نسبت به آنچه که در نوار آدرس نمایش داده میشود، ارسال شوند، هیچکدام از کوکیهای تگشده با این ویژگی جدید را شامل نخواهند شد.»
نسخهی ۶۰ فایرفاکس که در تاریخ ۹ ماه می منتشر خواهد شد، با دارا بودن ویژگی کوکی سایت-یکسان از کاربران در برابر حملات CSRF محافظت میکند. این ویژگی دارای دو حالت است: strict یا lax. در حالت strict، زمانیکه کاربر بر روی لینک یک وبسایت خارجی کلیک میکند، حتی اگر یک نشست فعال داشته باشد، غیرقابلشناسایی بوده و کوکیها ارسال نمیشوند.
در حالت lax، کوکیها زمانی ارسال خواهند شد که کاربران بهصورت امن از یک وبسایت خارجی بازدید کنند، اما در زیردرخواستهای بین دامنه، مانند مواردی که برای تصاویر یا فریمها ایجاد میشوند، ارسال نخواهند شد. این حالت برای برنامههایی طراحی شده است که ممکن است با حالت strict ناسازگار باشد.
