home.social

#samesite — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #samesite, aggregated by home.social.

  1. [Перевод] Современный подход к предотвращению CSRF/CORF-атак в Go

    Команда Go for Devs подготовила перевод статьи о новом подходе к защите Go-приложений от CSRF/CORF-атак. Автор разбирает, как связка TLS 1.3, SameSite cookies и http.CrossOriginProtection из стандартной библиотеки позволяют отказаться от токенов — но только если соблюдены важные условия. Насколько безопасен такой подход? Разбираемся.

    habr.com/ru/articles/968132/

    #go #csrf #tsl #безопасность #браузеры #защита #samesite

  2. Кликджекинг по двойному щелчку. Новый приём обманного UI

    Кликджекинг (подделка UI) — известный приём обмана пользователей интернета, когда поверх видимой страницы располагается невидимый слой, куда загружается фальшивка. То есть пользователю кажется, что он вводит пароль на доверенной странице, но на самом деле вводит его в стороннюю форму, которая принадлежит злоумышленнику. В последние годы его риск значительно снизился, потому что все браузеры по умолчанию запретили межсайтовые куки, в то время как самые опасные варианты использования требуют авторизации жертвы на целевом сайте. Однако несколько месяцев назад в Сети впервые замечены случаи кликджекинга по двойному щелчку . Вредоносные действия выполняются в промежутке между первым и вторым кликами незаметно для жертвы. Более продвинутая версия атаки работает практически на всех сайтах и в любых браузерах.

    habr.com/ru/companies/globalsi

    #DoubleClickjacking #JavaScript #кража_аккаунта #XFrameOptions #CSP #SameSite #межсайтовые_куки #межсайтовый_скриптинг #двойной_щелчок #double_click #двойное_нажатие

  3. Кликджекинг по двойному щелчку. Новый приём обманного UI

    Кликджекинг (подделка UI) — известный приём обмана пользователей интернета, когда поверх видимой страницы располагается невидимый слой, куда загружается фальшивка. То есть пользователю кажется, что он вводит пароль на доверенной странице, но на самом деле вводит его в стороннюю форму, которая принадлежит злоумышленнику. В последние годы его риск значительно снизился, потому что все браузеры по умолчанию запретили межсайтовые куки, в то время как самые опасные варианты использования требуют авторизации жертвы на целевом сайте. Однако несколько месяцев назад в Сети впервые замечены случаи кликджекинга по двойному щелчку . Вредоносные действия выполняются в промежутке между первым и вторым кликами незаметно для жертвы. Более продвинутая версия атаки работает практически на всех сайтах и в любых браузерах.

    habr.com/ru/companies/globalsi

    #DoubleClickjacking #JavaScript #кража_аккаунта #XFrameOptions #CSP #SameSite #межсайтовые_куки #межсайтовый_скриптинг #двойной_щелчок #double_click #двойное_нажатие

  4. Кликджекинг по двойному щелчку. Новый приём обманного UI

    Кликджекинг (подделка UI) — известный приём обмана пользователей интернета, когда поверх видимой страницы располагается невидимый слой, куда загружается фальшивка. То есть пользователю кажется, что он вводит пароль на доверенной странице, но на самом деле вводит его в стороннюю форму, которая принадлежит злоумышленнику. В последние годы его риск значительно снизился, потому что все браузеры по умолчанию запретили межсайтовые куки, в то время как самые опасные варианты использования требуют авторизации жертвы на целевом сайте. Однако несколько месяцев назад в Сети впервые замечены случаи кликджекинга по двойному щелчку . Вредоносные действия выполняются в промежутке между первым и вторым кликами незаметно для жертвы. Более продвинутая версия атаки работает практически на всех сайтах и в любых браузерах.

    habr.com/ru/companies/globalsi

    #DoubleClickjacking #JavaScript #кража_аккаунта #XFrameOptions #CSP #SameSite #межсайтовые_куки #межсайтовый_скриптинг #двойной_щелчок #double_click #двойное_нажатие

  5. Кликджекинг по двойному щелчку. Новый приём обманного UI

    Кликджекинг (подделка UI) — известный приём обмана пользователей интернета, когда поверх видимой страницы располагается невидимый слой, куда загружается фальшивка. То есть пользователю кажется, что он вводит пароль на доверенной странице, но на самом деле вводит его в стороннюю форму, которая принадлежит злоумышленнику. В последние годы его риск значительно снизился, потому что все браузеры по умолчанию запретили межсайтовые куки, в то время как самые опасные варианты использования требуют авторизации жертвы на целевом сайте. Однако несколько месяцев назад в Сети впервые замечены случаи кликджекинга по двойному щелчку . Вредоносные действия выполняются в промежутке между первым и вторым кликами незаметно для жертвы. Более продвинутая версия атаки работает практически на всех сайтах и в любых браузерах.

    habr.com/ru/companies/globalsi

    #DoubleClickjacking #JavaScript #кража_аккаунта #XFrameOptions #CSP #SameSite #межсайтовые_куки #межсайтовый_скриптинг #двойной_щелчок #double_click #двойное_нажатие

  6. ⚡ Quick Tip: Four ini tweaks to get safer sessions in PHP 8 web applications.

    Since their mode is defined as INI_ALL they can be set anywhere: from your code (as in a front controller, for an example), user scripts (*.ini, including php.ini itself), global server configuration (httpd.conf) or .htaccess files.

    🐘 🌐 🔒 🍪#php #samesite #referer #cookies #configuration #session #security #devops

  7. ⚡ Quick Tip: Four ini tweaks to get safer sessions in PHP 8 web applications.

    Since their mode is defined as INI_ALL they can be set anywhere: from your code (as in a front controller, for an example), user scripts (*.ini, including php.ini itself), global server configuration (httpd.conf) or .htaccess files.

    🐘 🌐 🔒 🍪#php #samesite #referer #cookies #configuration #session #security #devops

  8. ⚡ Quick Tip: Four ini tweaks to get safer sessions in PHP 8 web applications.

    Since their mode is defined as INI_ALL they can be set anywhere: from your code (as in a front controller, for an example), user scripts (*.ini, including php.ini itself), global server configuration (httpd.conf) or .htaccess files.

    🐘 🌐 🔒 🍪#php #samesite #referer #cookies #configuration #session #security #devops

  9. ⚡ Quick Tip: Four ini tweaks to get safer sessions in PHP 8 web applications.

    Since their mode is defined as INI_ALL they can be set anywhere: from your code (as in a front controller, for an example), user scripts (*.ini, including php.ini itself), global server configuration (httpd.conf) or .htaccess files.

    🐘 🌐 🔒 🍪#php #samesite #referer #cookies #configuration #session #security #devops

  10. ⚡ Quick Tip: Four ini tweaks to get safer sessions in PHP 8 web applications.

    Since their mode is defined as INI_ALL they can be set anywhere: from your code (as in a front controller, for an example), user scripts (*.ini, including php.ini itself), global server configuration (httpd.conf) or .htaccess files.

    🐘 🌐 🔒 🍪#php #samesite #referer #cookies #configuration #session #security #devops

  11. > Since Chromium 80 (June 2020) has enforced Secure when #SameSite is None, and this site has a fix but it just doesn't apply to Firefox. So I think we should enable it by default to enforce this site to apply their fix to Firefox as well. We SHOULD NOT put the security of all users at risk JUST because of a garbage website. What's more, the maintainers of this website actually know about this problem, they just refuse to apply a fix for Firefox.

  12. RT @[email protected]

    In-depth but accessible exploration of the upcoming #SameSite cookie 🍪 changes. You've only got 2 months left to fix this, so if you don't know what I'm talking about then go read this blog. twitter.com/_panva/status/1199