Mozilla past werking van SameSite-cookies aan
Mozilla gaat het gedrag van SameSite-cookies in Firefox aanpassen. Deze wijziging zou mogelijk gevolgen kunnen hebben voor sommige websites. Websites kunnen zowel first-party cookies voor hun eigen domein plaatsen, alsmede third-party cookies van externe diensten die op de website actief zijn. Hierbij moet worden gedacht aan cookies van advertentienetwerken, socialmediaplug-ins en widgets.
Via het SameSite-attribuut kan een webontwikkelaar aangeven dat een cookie alleen voor de first-party, of same-site context, toegankelijk is. Het SameSite-attribuut heeft drie mogelijk waardes: none, lax of strict. Wanneer een cookie alleen toegankelijk mag zijn voor de first-party kunnen ontwikkelaars kiezen uit SameSite=Lax of SameSite=Strict.
Weinig ontwikkelaars maken echter gebruik van deze opties, maakte Google eerder al bekend. Daardoor is het mogelijk dat first-party cookies kunnen worden gebruikt voor aanvallen via cross-site request forgery (CSRF). Hiermee kan een kwaadaardige website cookies van een andere website voor een aanval te gebruiken. Om dit tegen te gaan moet volgens Mozilla het gedrag van browser worden aangepast, en moeten websitebeheerders ook zorg dragen voor de juiste afhandeling.
Standaard zal Firefox straks de instelling 'SameSite=Lax' behandelen. Cookies worden dan niet op verzoek van andere websites verstrekt. Zodra websites voor cookies de optie SameSite=None gebruiken, zodat ze ook voor andere websites toegankelijk zijn, moet het aanvullende "Secure" attribuut worden toegevoegd. Dit zorgt ervoor zorgt dat cookies enkel via https-verbindingen benaderbaar zijn.
Mozilla heeft de maatregel momenteel uitgerold onder de helft van de gebruikers die de beta-versie van Firefox draaien. Er wordt nu gekeken wat de impact op bezochte websites is. Momenteel heeft Google deze wijziging ook al toegevoegd aan Chrome.
Gerelateerde nieuwsberichten
17/12/2023 Chrome krijgt ingebouwde tool tegen 'tracking cookies'
13/09/2023 Lek aangetroffen in WebP-functionaliteit
18/04/2023 Testversie Firefox biedt mogelijkheid om cookiebanners te blokkeren
Om te reageren heb je een account nodig en je moet ingelogd zijn.