Разработчики Mozilla сообщили (https://blog.mozilla.org/security/2018/04/24/same-site-cooki... о включении в кодовую базу браузера Firefox 60, выпуск которого намечен на 9 мая, поддержки Cookie-атрибута SameSite (https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-02... позволяющего web-разработчикам определять ситуации, в которых допустима передача Cookie при поступлении запроса со стороннего сайта. В настоящее время, браузер передаёт Cookie на любой запрос к сайту, для которого имеются выставленные Cookie, даже если изначально открыт другой сайт, а обращение осуществляется косвенно при помощи загрузки картинки или через iframe.
Злоумышленники пользуются данной особенностью для организации CSRF-атак (https://ru.wikipedia.org/wiki/%D0%9C%D0%... - при открытии подконтрольного атакующим ресурса с его страниц скрыто отправляется запрос на другой сайт, на котором аутентифицирован текущий пользователь, что позволяет, например, от имени пользователя выполнить команду в активном web-интерфейсе другого сайта. Атрибут SameSite позволяет блокировать подобные атаки, допуская отправку Cookie только в ответ на запросы, инициированные с сайта, с которого эти Cookie изначально были получены. Запросы, отправленные с URL, который не совпадает адресом назначения, будут приходить без выставленных для целевого сайта Cookie.
Атрибут SameSite может принимать два значения ‘strict’ или ‘lax’.
В режиме 'strict' Cookie будут удерживаться от отправки для любых видов межсайтовых запросов, включая все входящие ссылки с внешних сайтов - пользователь кликнувший на ссылку перехода будет считаться не аутентифицированным на целевом сайте, независимо от наличия активного сеанса с этим сайтом. В режиме 'lax' будут применяться более мягкие ограничения и передача Cookie будет блокироваться только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe. При переходе по ссылке в режиме 'lax' Cookie будут передаваться как раньше с сохранением активного сеанса.URL: https://blog.mozilla.org/security/2018/04/24/same-site-cooki.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48496
Наконец-то. Теперь сайты со временем откажутся от костыля в виде проверки рефереров и их спуфинг не будет потенциально ухудшать безопасность.
> Наконец-то. Теперь сайты со временем откажутся от костыля в виде проверки рефереров
> и их спуфинг не будет потенциально ухудшать безопасность.вообще проверяют CSRFToken а не referrer
Вообще-то не везде. Для многих было нормой смотреть на реферер. Если там своё, то значит норм. А о спуфинге не думали.
Так работает панель управления у OVH.
Сначала понапридумывают разных мутных технологий, а потом героически борются с последствиями - это все что вам нужно знать про современное ИТ.
А потом приходит школота, которая сама ни одной технологии ещё не изобрела, и начинает рассказывать, какие мутные были технологии.
А потом появляются умельцы которые создают проблемы которые не решаются существующими инструментами и сооружают для них набор костылей. Например, "Я умею пользоваться стамеской и молотком и поэтому когда я буду у дантиста, я их возьму с собой и заставлю врача ими пользоваться". Или, применю-ка я в протоколе изначально созданном для выдачи текста, новые модные слои абстракций для создания у пользователя иллюзии, о том что он пользуется десктопным приложением. Му-ха-ха!
Web-Monkeys, sir!
Человек ищет решение одной проблемы создавая другую, так было всегда, и это относится к любой сфере.
Cookie появились в 1995 году. С тех пор csrf атака уже была возможно, просто до неё сильно не сразу додумались.Причём тут современное ИТ?
так оно любит тянуть древность, ради совместимости
Firefox радует =)
https://www.opennet.ru/opennews/art.shtml?num=48312
Еще в 60 версии появится возможность подстановки прокси по каждому запросу, можно будет более гибко управлять проксями, в частности, использовать разные для различных контейнеров https://developer.mozilla.org/en-US/Add-ons/WebExtensions/AP...
По url станет возможно определять? Сейчас вебэксты только по доменам могут.
Можно таб определять, рабочий прототип(background.js):var proxyByContainer = {
'firefox-default': {type: 'direct'},
'firefox-container-1': {type: 'socks', host: '127.0.0.1', port: 9050},
'firefox-container-2': {type: 'socks', host: '127.0.0.1', port: 9050},
'firefox-container-3': {type: 'socks', host: '127.0.0.1', port: 9050},
'firefox-container-4': {type: 'socks', host: '127.0.0.1', port: 9050}
};browser.proxy.onRequest.addListener(function(requestInfo) {
return new Promise(function(resolve, reject) {
browser.tabs.get(requestInfo.tabId)
.then(tab => resolve(proxyByContainer[tab.cookieStoreId]))
.catch(() => resolve({type: 'direct'}));
});
}, {urls: ['<all_urls>']});
отличная попытка Мозилка но опять к сожалению *промах* !такого рода защита не работает в случае когда она "поумолчанию отключена"! (пора бы уже было понять -- после введения такой кучи так называемых "защит" -- которые так и не привели к результату)
многие CSRF уязвимости существуют не потому что авторы-забагованных-сайтов якобы где-то явно накосячили -- а именно потому-что они даже *не_знали* что поумолчанию CSRF требуют закрывать себя (если не закрыл -- то значит CSRF-дары есть).
Смотря по чему стреляли.
Описанная в рекламной брошюре галиматья с авторизацией применима только для авторизации непосредственно по тому же адресу, а любое SSO, авторизация по социальным сетям и пр. тту же отваливают. Ибо они на другом адресе.
А вот прочие куки можно будет стопорить. Только вот рекламщик свои куки стопорить не будет.
во первых -- что сломается -- починят в течении дня (владельцы сайтов).во вторых -- кто мешает сделать маленькую кнопочку в браузере "Disable Protection For This Site" -- для ситуации когда какой-то маловажный сайт (но оказавшийся важным ВОТ СЕЙЧАС!) не хочет рабатать безопасно и требует наличия CSRF-дыры
> во вторых -- кто мешает сделать маленькую кнопочку в браузере "Disable Protection For This Site" -- для ситуации когда какой-то маловажный сайт (но оказавшийся важным ВОТ СЕЙЧАС!) не хочет рабатать безопасно и требует наличия CSRF-дырыПотому что юзеры тупые, не надо такое добавлять. Посмотри в соседнюю новость со взловом криптосайта. Все юзеры, отдавшие 134к$ нажали игнорирование в красном полотне о невалидном сертификате.
Ну и это тут тоже работает:
> во первых -- что сломается -- починят в течении дня (владельцы сайтов).
>во первых -- что сломается -- починят в течении дняВы не поняли, там ломается принцип. Смотрю адрес А, куки на адрес Б (сервер авторизации) не отправляются -> нет никакой авторизации на куках. Альтернатива, если я ничего не путаю - кроссдомайные скрипты. :)
> отличная попытка Мозилка но опять к сожалению *промах* !
> такого рода защита не работает в случае когда она "поумолчанию отключена"! (пора
> бы уже было понять -- после введения такой кучи так называемых
> "защит" -- которые так и не привели к результату)
> многие CSRF уязвимости существуют не потому что авторы-забагованных-сайтов якобы где-то
> явно накосячили -- а именно потому-что они даже *не_знали* что поумолчанию
> CSRF требуют закрывать себя (если не закрыл -- то значит CSRF-дары
> есть).Поругали "Мозилка" и пожалели "авторы-забагованных-сайтов"? Или Я неправильно Вас понял?
Может быть Вы предлагаете "Мозилка" сделать так делают власти в некоторых странах, "рубанем Телеграм и трава не расти". А то что потом половина Интернета не работает, так это как раз и хорошо, результат "заботы" о гражданах на лицо ;)
> Может быть Вы предлагаете "Мозилка" сделать так делают власти в некоторых странах,
> "рубанем Телеграм и трава не расти". А то что потом половина
> Интернета не работает, так это как раз и хорошо, результат "заботы"
> о гражданах на лицо ;)Не совсем тоже самое, но очень похоже, да. Просто властьимущие будут с нас бабки в виде налогов рубить, а всякие трекеры приносят доход владельцу (нет, не ресурса, трекера).
А когда они победят меморилики ? Стоит оставить его с 15ю открытыми вкладками, как он за день два выедает 6гб ОЗУ!
Да вы уже достали под каждой новостью про ff писать про нехватку ресурсов. Может проблема в открытых сайтах? В голову не приходило, что и в js бывают утечки памяти?
Увы, это правда - утечки памяти огромные. Да, сейчас много пофиксили, да и если не следить, то можно и не заметить. Но утечки и сейчас остались как правило на мультимедийных и видео-сайтах. Иногда при закрытии вкладок память освобождается, а иногда так и остается висеть одна пустая вкладка с 1,5 ГБ выделенной памяти
Проверял, никаких медиа не открыто было, и всё равно он сожрал.
Теперь по поводу JS, разве браузер не должен следить за этим ? О_о. И что это за браузер который нужно перезапускать раз в 1-2 дня что бы не превышал планок 6гб озу ? Если нужен список открытых сайтов могу выложить, убедитесь что медиа там нет.
Не, фф отжирает ресурсы, реально. Раз в две недели его приходится перезапускать, иначе оперативка забита файрфоксом, своп тоже забит файрфоксом. При попытке скомпилировать что-нибудь, система встаёт колом. Рестарт файрфокса спасает ситуацию.
Никогда не было такой проблемы. Хоть 100 вкладок на целый день оставляй.
а мнения хакиров, отключивших многопроцессность, тут не спрашивали
Всё включено. Не было как без многопроцессности, так и с ней. Всем доволен.
Как долго ФФ не выключается ?? 4...?? 8 часов ??
Если хочешь пруфы запусти на 10ти открытых вкладках, на достаточно простых сайтах, оставь на несколько дней, получи пруфы, либо опровергни..
Часов 12 и больше. На ночь вырубаю ноут.
А ты проверь, оставь на несколько дней, а уже потом говори.
У меня второй месяц висит запущенный с тремя десятками активных вкладок.
Проблем никаких, в отличие от хромиума, дохнущего от пяти вкладок через пару дней.Просто если какой-то рукожoп очень хочет помайнить что-нибудь на яваскрипте — ФФ ему не запрещает.
Но это проблемы рукожoпия и посещения гoвносайтов, а не ФФ.
Вполне вероятно, попробую отрубить JS посмотрю, как на тех же вкладках без него будет жить...
А вот вам и урок - не ставить свежую мозиллу, покуда не протестируют. Лучше ESR пользоваться.
https://imgur.com/iOd8KJW
Firefox открыт третий день компьютер не выключался (ночами стоял на ждущем), FF плотно используется. Где ~6Гб? Может они при каких-то определённых условиях утекают?
> https://imgur.com/iOd8KJWА что это у вас RSS странно складывается: 186+222+234+(непонятно сколько ещё процессов Экономного Браузера не попало на скриншот)=426?
>> https://imgur.com/iOd8KJW
> А что это у вас RSS странно складывается: 186+222+234+(непонятно сколько ещё процессов
> Экономного Браузера не попало на скриншот)=426?У меня три процесса стоит (пруф. https://imgur.com/eHzGcEx) соответственно процессов тоже 3.
ЗЫ. Предвосхищая, у меня не всегда три вкладки открыто. Это уже работа на сегодня закончилась :)
> Может они при каких-то определённых условиях утекают?Когда руки растут из (_о_) и КГБ/ФБР (анти?)вирусы стоят.
> ГБ/ФБР (анти?)вирусы стоятнемодно, ненадежно. достаточно запуска программ типа ff.
> https://imgur.com/iOd8KJW
> Firefox открыт третий день компьютер не выключался (ночами стоял на ждущем), FF
> плотно используется. Где ~6Гб? Может они при каких-то определённых условиях утекают?Не вопрос, выполни и скинь в студию?:
ps -ewo rss,pid,lstart,euser,etime,time,cmd --sort %mem | grep -v grep | grep -i firefox | awk '{printf $1/1024 "MB"; $1=""; print }'
>Может они при каких-то определённых условиях утекают?Вероятность есть, на работе волею судьбы пользуемся OTRS, вполне может быть что и она причина, проверю, до этого ставили одни и те же влкадки, проверяли на двух разных ОС, ...
Вот скрин:
https://imgur.com/a/j1aWxFr
Как видно за 14 часов уже не хило так отхватил, 2.5гб.
А у меня за два месяца всего 550 мегабайт.
Чини руки.
Причём тут руки О_о ? Или Вы хотите сказать я самолично гадил в коде ФФ и пересобирал Его, для каких то непонятных целей ?
Зная аудиторию могу сказать что есть некоторые неадекваты которые могут говорить что всё что угодно, пруфы скинь:
ps -ewo rss,pid,lstart,euser,etime,time,cmd --sort %mem | grep -v grep | grep -i firefox | awk '{printf $1/1024 "MB"; $1=""; print }'
> Не вопрос, выполни и скинь в студию?:Для чистоты эксперимента, машину перезагрузил, и запустил FF начисто. Открыл несколько вкладок и закинул на дальний рабочий стол, до которого всё равно не добираюсь (сделано для того, чтобы процессы не умирали). Работать буду как обычно, результаты за сутки, если ничего экстраординарного не случится (ноут не повиснет, проще говоря), завтра напишу в этот же тред.
Со старта результат https://pastebin.com/Zr8bV4ry> Как видно за 14 часов уже не хило так отхватил, 2.5гб.
Если не секрет, сколько памяти стоит на машинах? У меня есть подозрение, не подкреплённое, впрочем, ничем, чисто интуитивное, что FF каким-то образом берёт память в зависимости от общего объёма. У меня 8Гб и я выше 2,5-3Гб суммарно не видел. Хотя не исключаю, что по результатам этого эксперимента увижу :)
> Не вопрос, выполни и скинь в студию?:Результат через сутки использования: https://pastebin.com/JcStW4VB - суммарно ~1.4Gb
Результат после принудительного запуска GC и CC: https://pastebin.com/H6qKAVj4 - суммарно ~1.2Gb
Расход от стандартного повседневного не очень отличается.В принципе, у FF есть about:memory (выглядит вот так https://imgur.com/dhiTHXx), в котором можно смотреть на что расходуется память, делать снапшоты (и логи GC и СС) и сравнивать их. Может попробуете отследить, что так радикально ест память.
> https://imgur.com/iOd8KJW
> Firefox открыт третий день компьютер не выключался (ночами стоял на ждущем), FF
> плотно используется. Где ~6Гб? Может они при каких-то определённых условиях утекают?Ну три дня любой дурак сможет. Ты попробуй его не закрывать месяц.
Второй месяц не закрываю, 550 мегабайт.До этого полгода висел, проблем не наблюдалось.
Скинь пруфы ?
ps -ewo rss,pid,lstart,euser,etime,time,cmd --sort %mem | grep -v grep | grep -i firefox | awk '{printf $1/1024 "MB"; $1=""; print }'
Не испытываю подобных проблем, но если нет необходимости в постоянной работе этих вкладок всё время, то:Auto tab discard: https://addons.mozilla.org/ru/firefox/addon/auto-tab-discard/