Браузер Firefox в ближайшем будущем станет еще более надежным и безопасным. В нем появится совершено новая функция безопасности, которая должна защитить пользователей от атак, совершенных с помощью межсайтовой подделки запроса. Нововведения будут реализованы уже в мае текущего года.
На 9 мая запланирован выпуск очередной стабильной версии Firefox 60, в котором должна появиться поддержка cookie SameSite. Именно благодаря этому удастся реализовать дополнительную защиту.
С помощью этого атрибута в браузере блокируется загрузка сайтом файлов cookie, которые загружаются со сторонних доменов, не совпадающих с URL сайта, открытого в адресной строке. Таким образом пользователи будут надежно защищены от так называемых атак CSRF.
Стоит отметить, что работа атрибута SameSite зависит не от специалистов компании Mozilla или от пользователей. Реализация его поддержки должна войти в список задач, выполняемых создателями сайтов. Они должны добавлять и настраивать этот атрибут в заголовках ответов HTTP. Чтобы облегчить им ту задачу, операторы получат доступ сразу к двум настройкам. Первая из них называется Strict. При его использовании браузер не будет загружать файлы cookie, если они поступают со стороннего домена, отличающегося от того, что указан в адресной строке.
Вторая настройка называется Lax. При ее использовании Firefox не будет блокировать загрузку сторонних cookie, если пользователь заходил на сайт, используя для этого безопасный способ. Например, таковым считается переход по ссылке с одного сайта на другой.
Добавим, что Firefox немного запоздал с добавлением этой функции, ведь другие производители браузеров уже давно ее добавили. Например, в Chrome поддержка SameSite появилась еще в прошлом году, а в Opera — в начале текущего года.