یک اشکال اخیراً وصلهشده در پروژه Chromium میتواند به عوامل مخرب اجازه دهد تا یک ویژگی امنیتی را که از کوکیهای حساس در مرورگرهای اندروید محافظت میکند دور بزنند.
تنظیم SameSite به توسعه دهندگان امکان می دهد دسترسی به کوکی ها را محدود کنند. به عنوان مثال، با تنظیم SameSite=strict، اگر کاربر از طریق پیوند یا درخواست تغییر مسیر از وبسایت دیگری به وبسایت هدایت شود، میتواند از نمایش یک کوکی در پاسخهای HTTP جلوگیری کند.
دور زدن SameSite با درخواست های intent
با این حال، اکسل چونگ، محقق امنیتی، متوجه شد که در صورت استفاده از درخواست های intent برای پیمایش به وبسایت مورد نظر، میتواند حفاظت SameSite را دور بزند. Intent ها کنترل کننده های پروتکل خارجی هستند که به برنامه های Android اجازه می دهند برنامه های دیگر را باز کنند، مانند پرش از مرورگر به برنامه Maps یا از SMS به مرورگر.
بدون دیدگاه