HabrNov 26

[Перевод] Современный подход к предотвращению CSRF/CORF-атак в Go

Команда Go for Devs подготовила перевод статьи о новом подходе к защите Go-приложений от CSRF/CORF-атак. Автор разбирает, как связка TLS 1.3, SameSite cookies и http.CrossOriginProtection из стандартной библиотеки позволяют отказаться от токенов — но только если соблюдены важные условия. Насколько безопасен такой подход? Разбираемся.

https://habr.com/ru/articles/968132/

#go #csrf #tsl #безопасность #браузеры #защита #samesite

Современный подход к предотвращению CSRF/CORF-атак в Go

Команда Go for Devs подготовила перевод статьи о новом подходе к защите Go-приложений от CSRF/CORF-атак. Автор разбирает, как связка TLS 1.3, SameSite cookies и http.CrossOriginProtection из...

Хабр
HabrJun 22, 2025

Кликджекинг по двойному щелчку. Новый приём обманного UI

Кликджекинг (подделка UI) — известный приём обмана пользователей интернета, когда поверх видимой страницы располагается невидимый слой, куда загружается фальшивка. То есть пользователю кажется, что он вводит пароль на доверенной странице, но на самом деле вводит его в стороннюю форму, которая принадлежит злоумышленнику. В последние годы его риск значительно снизился, потому что все браузеры по умолчанию запретили межсайтовые куки, в то время как самые опасные варианты использования требуют авторизации жертвы на целевом сайте. Однако несколько месяцев назад в Сети впервые замечены случаи кликджекинга по двойному щелчку . Вредоносные действия выполняются в промежутке между первым и вторым кликами незаметно для жертвы. Более продвинутая версия атаки работает практически на всех сайтах и в любых браузерах.

https://habr.com/ru/companies/globalsign/articles/920760/

#DoubleClickjacking #JavaScript #кража_аккаунта #XFrameOptions #CSP #SameSite #межсайтовые_куки #межсайтовый_скриптинг #двойной_щелчок #double_click #двойное_нажатие

Кликджекинг по двойному щелчку. Новый приём обманного UI

Кликджекинг (подделка UI) — известный приём обмана пользователей интернета, когда поверх видимой страницы располагается невидимый слой, куда загружается фальшивка. То есть пользователю кажется, что он...

Хабр
galvao|[email protected]Dec 23, 2024

⚡ Quick Tip: Four ini tweaks to get safer sessions in PHP 8 web applications.

Since their mode is defined as INI_ALL they can be set anywhere: from your code (as in a front controller, for an example), user scripts (*.ini, including php.ini itself), global server configuration (httpd.conf) or .htaccess files.

🐘 🌐 🔒 🍪#php #samesite #referer #cookies #configuration #session #security #devops

Show threadCoelacanthus 😶‍🌫️ 🏳️‍⚧️Dec 27, 2023
> Since Chromium 80 (June 2020) has enforced Secure when #SameSite is None, and this site has a fix but it just doesn't apply to Firefox. So I think we should enable it by default to enforce this site to apply their fix to Firefox as well. We SHOULD NOT put the security of all users at risk JUST because of a garbage website. What's more, the maintainers of this website actually know about this problem, they just refuse to apply a fix for Firefox.
frankexchange1Nov 16, 2022
#LochCreran #oban #scotland #samesite
Same view, different days
h12o@このサーバのドメイン変えますFeb 17, 2020

> 2020年2月のALBのアップデートで、ALBがChromium 80以降のUser-AgentならSameSite=Noneを付与するようになった
> そのさいcookie headerの文字数が上限を超えてしまうことがある

#SameSite 属性対応のおかげで #HTTPクッキー の長さ上限を突破してしまうらしいが、 #AWS 側の検証不足のような気がする…
https://blog.sushi.money/entry/2020/02/17/105927

Chrome80以降でALBの認証を使っているとcookieが4096バイトを超えて認証できないことがあり、社内サービスではcookie名を縮めて対応した - hitode909の日記

AWSのApplication Load Balancerの認証機能を使って、スタッフからのアクセスのみ許可する社内向けウェブサービスを運用しているのだけど、昨日くらいからGoogle Chromeで認証が通らなないという声を聞くようになった。 現象としてはリダイレクトループが発生していて、コンソールを見るとSet-Cookie headerが長すぎるというエラーが出ていた。 Set-Cookie header is ignored in response from url: https://****/oauth2/idpresponse?code=e51b4cf0-8b8e-495f-8db…

Hatena Blog
ITSEC NewsFeb 6, 2020
Google’s Chrome 80 clamps down on cookies and notification spam - Version 80 of the Chrome browser is out with some new features designed to save your security and ... more: https://nakedsecurity.sophos.com/2020/02/06/googles-chrome-80-clamps-down-on-cookies-and-notification-spam/ #websitenotifications #securitythreats #googlechrome #webbrowsers #chromium #samesite #malware #cookies #google #chrome #https #spam #http
Google’s Chrome 80 clamps down on cookies and notification spam

Naked Security
ITSEC NewsJan 14, 2020
Google to Nix Chrome Support for Third-Party Cookies by 2022 - Google says it has a two-year timeline for phasing out support for third-party cookies in its Chro... more: https://threatpost.com/google-to-nix-third-party-cookies/151830/ #trackingcookies #firefoxbrowser #privacysandbox #chromebrowser #safaribrowser #adverstising #websecurity #applesafari #microsoft #samesite #privacy #cookies #google #https
Google to Nix Chrome Support for Third-Party Cookies by 2022

Google says it has a two-year timeline for phasing out support for third-party cookies in its Chrome web browser.

Threatpost - English - Global - threatpost.com
Thomas Steiner Dec 3, 2019

RT @[email protected]

In-depth but accessible exploration of the upcoming #SameSite cookie 🍪 changes. You've only got 2 months left to fix this, so if you don't know what I'm talking about then go read this blog. https://twitter.com/_panva/status/1199288733872377858

Filip Skokan on Twitter

“Who doesn't like cookies? I sure do, but the upcoming browser changes had me dig into them a bit too much lately. Learn about upcoming changes to browser cookie behaviour that may leave your web applications incompatible https://t.co/DEY4qvJJJa @auth0”

Twitter
Thomas Steiner Nov 5, 2019

RT @[email protected]

I'm trying to make it easier to understand what your browser does with #samesite cookies, so I made this little testing site. https://samesite-sandbox.glitch.me/ 🍪📋✅ It's not quite fully baked, but I'd love feedback on if this makes sense to you, improvements, etc. Let me know!

SameSite 🍪 sandbox

Test SameSite cookie compatibility