Fechar Login
De Tudo um Pouco

Microsoft começa a testar cookies

A versão de ontem do build 17672 pode não ter sido tremendamente excitante em termos de novos recursos – especialmente após a build repleta de recursos 17666 – mas a lista de melhorias incluiu uma mudança importante que pode ter passado despercebida: suporte para cookies de mesmo site no Microsoft Edge e o Internet Explorer 11.

Publicidade

Hoje, a empresa detalhou o recurso em um post no blog, explicando como ele visa proteger os usuários contra ataques de falsificação de solicitações entre sites (CSFR). Os desenvolvedores da Web poderão definir o atributo Same Site nos cookies de seus sites, o que impedirá que os cookies sejam enviados do site para domínios externos.

Microsoft edge

Historicamente, sites como o example.com que fazem solicitações de “origem cruzada” a outros domínios, como o microsoft.com , geralmente fizeram com que o navegador enviasse os cookies do microsoft.com como parte da solicitação. Normalmente, o usuário se beneficia por ser capaz de reutilizar algum estado (por exemplo, estado de login) entre os sites, independentemente de onde a solicitação tenha sido originada. Infelizmente, isso pode ser abusado, como nos ataques CSRF. Os cookies no mesmo site são uma adição valiosa à defesa em profundidade contra ataques de CSRF.

Os sites agora podem definir o atributo Same-Site nos cookies de sua escolha por meio do cabeçalho Set-Cookie ou usando a propriedade JavaScript do documento. cookie, evitando assim o comportamento padrão do navegador de enviar cookies em solicitações inter site em todas as solicitações inter site ( através do valor “estrito”) ou apenas em algumas solicitações menos sensíveis (através do valor “lax”).

Mais especificamente, se o atributo strict for especificado para quando um cookie do mesmo site for definido, ele não será enviado para nenhuma solicitação entre sites, o que inclui clicar em links de sites externos. Como o estado conectado é armazenado como um cookie Same-Site = Strict, quando um usuário clica em um desses links, ele aparece inicialmente como se o usuário não estivesse logado.

Por outro lado, se o atributo lax for especificado para quando um cookie do mesmo site for definido, ele não será enviado para solicitações de sub-recurso de origem cruzada, como imagens. No entanto, os cookies Same-Site = Lax serão enviados ao navegar de um site externo, como quando um link é clicado.

Para os desenvolvedores preocupados com a retrocompatibilidade, a Microsoft esclarece que navegadores que não suportam cookies no mesmo site simplesmente ignoram o atributo e processam os cookies conforme o esperado, o que significa que o recurso não impactará negativamente os navegadores que não o suportam.

Mesmo que esteja sendo testado atualmente na filial de desenvolvimento do Redentor 5, a Microsoft diz que o recurso será adicionado ao Microsoft Edge e ao Internet Explorer 11 no Windows 10 Creators Update e mais recente, o que sugere que suporte finalizado pode ser adicionado sem ter que esperar próxima grande atualização do Windows 10 no outono.

Fonte: Blogs do Windows

Sobre o autor:

Deixe seu Comentario

Mais Baixados

1
601403 downloads
2
410551 downloads
3
372192 downloads
4
Angela com infinito
205916 downloads
5
200580 downloads
6
132187 downloads
7
127597 downloads
8
118595 downloads
9
103182 downloads
10
100111 downloads
Veja Mais
Todos os conteúdos desse site são colocados com permissão dos autores ou aplicações encontradas no domínio público na internet. Se algum dos conteúdos ou arquivos viola seus direitos, Por favor, deixe-nos saber.