Microsoft đang thử nghiệm Same-Site Cookie trên Windows 10

Buzz

Đọc tóm tắt

- Microsoft cập nhật Windows 10 build 17672 với nhiều cải tiến cho trình duyệt web.
- Same-Site Cookie được thử nghiệm trên Microsoft Edge và Internet Explorer 11.
- Cookie Same-Site giúp bảo vệ người dùng khỏi tấn công CSRF.
- Các nhà phát triển web có thể thiết lập thuộc tính SameSite trên cookie để ngăn cookie được gửi từ trang web đến các miền bên ngoài.
- Microsoft đang thử nghiệm Same-Site Cookie trên Windows 10.
- Same-Site Cookie đã tồn tại trên Firefox và Chrome từ trước.
- Chrome loại bỏ chỉ báo Secure để thúc đẩy kế hoạch 'HTTPS 100%'.

Trong bản cập nhật Windows 10 build 17672 mới nhất, Microsoft đã đưa ra nhiều cải tiến quan trọng cho trình duyệt web của mình. Điều đáng chú ý là Microsoft bắt đầu thử nghiệm Same-Site Cookie trên Windows 10.

Trong số các cải tiến đáng chú ý trong bản cập nhật Windows 10 build 17672, có sự hỗ trợ Same-Site Cookie trên trình duyệt Microsoft Edge và Internet Explorer 11.

Để hiểu rõ hơn về Cookie là gì, bạn có thể đọc bài viết Cookie là gì tại đây

Trên blog, công ty đã công bố về việc bổ sung hỗ trợ Same-Site Cookie trên trình duyệt nhằm bảo vệ người dùng khỏi tấn công CSFR (cross-site request forgery). Nhà phát triển web có thể thiết lập thuộc tính SameSite trên cookie trên trang web của mình để ngăn cookie được gửi từ trang web đến các miền bên ngoài.

Microsoft đang thử nghiệm Same-Site Cookie trên Windows 10

Trước đây, các trang web như example.com tạo các yêu cầu gốc tới các tên miền khác như microsoft.com, khiến trình duyệt gửi cookie của microsoft.com như một phần của yêu cầu.

Thường thì người dùng có lợi bằng cách sử dụng lại một số trạng thái (chẳng hạn như trạng thái đăng nhập) trên các trang web khác nhau. Tuy nhiên, kẻ tấn công có thể lợi dụng điều này để thực hiện các cuộc tấn công, ví dụ như tấn công CSRF. Same-Site cookie đóng vai trò quan trọng trong việc bảo vệ chống lại các cuộc tấn công CSRF.

Hiện nay, các trang web có thể thiết lập thuộc tính SameSite trên cookie thông qua tiêu đề Set-Cookie hoặc sử dụng thuộc tính document.cookie trong JavaScript để ngăn chặn trình duyệt gửi cookie trong các yêu cầu cross-site hoặc chỉ trong một số trường hợp ít nhạy cảm hơn.

Cụ thể, nếu thuộc tính strict được đặt khi một same-site cookie được tạo, nó sẽ không được gửi trong bất kỳ yêu cầu cross-site nào, bao gồm cả việc nhấp vào các liên kết từ các trang web bên ngoài. Do đó, khi người dùng nhấp vào liên kết này, nó sẽ hiển thị như người dùng chưa đăng nhập.

Ngược lại, nếu thuộc tính lax được đặt khi một same-site cookie được tạo, nó sẽ không được gửi trong các yêu cầu cross-origin như hình ảnh. Tuy nhiên, cookie SameSite=Lax vẫn sẽ được gửi khi điều hướng từ một trang web bên ngoài, ví dụ như khi nhấp vào một liên kết.

Đối với các nhà phát triển quan tâm đến tính tương thích ngược, Microsoft đã làm rõ rằng các trình duyệt không hỗ trợ same-site cookie sẽ bỏ qua thuộc tính và xử lý quá trình theo yêu cầu, điều này không ảnh hưởng đến các trình duyệt không hỗ trợ tính năng.

Same-Site Cookie đang được thử nghiệm trong nhánh phát triển Redstone 5. Microsoft thông báo rằng tính năng này sẽ được thêm vào trình duyệt Microsoft Edge và Internet Explorer 11 trên Windows 10 Creators Update và các phiên bản mới hơn.

Nếu bạn không muốn trang web lưu trữ lịch sử hoặc cookie, hãy xem cách xóa lịch sử và xóa cookie trong trình duyệt web tại đây.

Trong trường hợp bạn muốn tự động xóa cookie khi đóng các trình duyệt web, bạn có thể tìm hiểu cách tự động xóa cookie khi đóng trình duyệt tại đây.

Mặc dù mới chỉ được thử nghiệm trên Windows 10, nhưng Same-Site Cookie đã tồn tại trên các trình duyệt Firefox và Chrome từ lâu. Đồng thời, để đảm bảo sự an toàn tối đa cho người dùng, Chrome đã loại bỏ chỉ báo Secure khỏi các trang web HTTPS vào tháng 9, nhằm thúc đẩy kế hoạch 'HTTPS 100%' để tất cả các trang web được tải trong Chrome đều sử dụng giao thức HTTPS an toàn.

Các câu hỏi thường gặp

Tại sao Microsoft lại thử nghiệm Same-Site Cookie trong bản cập nhật Windows 10 build 17672?

Microsoft thử nghiệm Same-Site Cookie để tăng cường bảo mật cho người dùng, đặc biệt là để chống lại các cuộc tấn công CSRF. Tính năng này cho phép các nhà phát triển thiết lập thuộc tính SameSite cho cookie, ngăn không cho cookie được gửi từ các miền bên ngoài.

Same-Site Cookie hoạt động như thế nào trong trình duyệt Microsoft Edge và Internet Explorer 11?

Same-Site Cookie hoạt động bằng cách giới hạn việc gửi cookie trong các yêu cầu cross-site. Nếu thuộc tính strict được đặt, cookie sẽ không được gửi trong bất kỳ yêu cầu nào từ các miền khác, giúp ngăn ngừa các cuộc tấn công từ bên ngoài.

Có phải tất cả các trình duyệt đều hỗ trợ Same-Site Cookie hay không?

Không, không phải tất cả các trình duyệt đều hỗ trợ Same-Site Cookie. Microsoft đã làm rõ rằng nếu trình duyệt không hỗ trợ tính năng này, nó sẽ bỏ qua thuộc tính và xử lý các yêu cầu theo cách thông thường mà không bị ảnh hưởng.

Làm thế nào để nhà phát triển có thể thiết lập thuộc tính SameSite cho cookie?

Nhà phát triển có thể thiết lập thuộc tính SameSite cho cookie thông qua tiêu đề Set-Cookie hoặc sử dụng thuộc tính document.cookie trong JavaScript. Điều này cho phép kiểm soát cách cookie được gửi trong các yêu cầu cross-origin.

Tại sao Same-Site Cookie quan trọng trong việc bảo vệ người dùng khỏi tấn công CSRF?

Same-Site Cookie quan trọng vì nó ngăn chặn cookie được gửi trong các yêu cầu từ các miền khác, giảm thiểu nguy cơ bị lợi dụng trong các cuộc tấn công CSRF. Điều này bảo vệ trạng thái đăng nhập và thông tin người dùng khi duyệt web.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua email: [email protected]