2022/01/26 13:04
ockeghem
日記書いた。samesite属性を明示しない場合のCSRF攻撃の影響についてブラウザ毎に整理しました
2022/01/26 13:25
dsl
2分間ルールなんてあるのか
2022/01/26 13:56
takezaki
“ただし、デフォルトsamesite=laxには「2分間ルール」というものがあり、現実的な可能性は低いものの、CSRF攻撃を受ける余地があります。”
2022/01/26 14:15
ton-boo
iOSでの最新のSafariだとsamesite属性の代わり(というのも変だけど)にITPが頑張ってくれてたりしないだろうか
2022/01/26 14:16
kootaro
一昔前より、安全になってきてるんだろうけど、ついていけないです。。。
2022/01/26 14:17
ledsun
“脆弱性のデモなどで敢えて2分間ルールを使いたい場合は、いったんCookieを削除してから新規にCookieを生成することにより、2分間ルールの恩恵を受けることができます。”
2022/01/26 14:24
hatest
CSRF:(C)Cookieの (S)samesiteを指定しないと (R)リクエストが不正なところから来ても (F)防げないよ
2022/01/26 15:03
takatama
Safariは未対応。既読機能など、GETで状態変更すると攻撃できちゃうよ
2022/01/26 15:39
n314
ec-cubeとかは3dセキュアやリンク型決済に対応するためにsamesite=noneで逃げてたと思うんだけど、あれどうなったのかな?真面目にやろうとしてセッションと別に決済用のcookieを自分で作るの、かなり大変なんだよねえ…。
2022/01/26 16:37
hahihahi
「実際にはIEの最新版ではsamesite属性に対応しています。」wtf!?
2022/01/26 16:46
orenonihongogayabai
Safariの特定バージョンにて `None` を指定すると `Strict` で動く漢気仕様のバグがあったような。今はどうなんだろう?
2022/01/26 19:05
tettekete37564
本当2分ルールが意味不明。ウチで発行したクッキーが外部決済サイトから戻ってきたページでだけブラウザがクッキーを送信しないがテストだと2分以内だから問題が起きないという。発行と受信が同じオリジンなら送れよ
2022/01/26 19:30
ultimatebreak
クッキーを落としても2分以内なら食べられる / こんなくだらないブコメで徳丸先生からスターをいただいてしまい恐縮している
2022/01/26 22:54
yosuke_furukawa
"最新のGoogle ChromeおよびFirefoxにおいて、samesite属性を指定しないCookieはsamesite=laxの扱いを受けますが、Cookieが生成されてから2分経過してからsamesite=laxになる仕様になっています。" 知らなかった。。
2022/01/27 00:00
sawarabi0130
こんにちはこんにちは!!
2022/01/27 03:26
odakaho
“samesite=laxのクッキーはサイトに送信されず、ログイン状態にはならないためCSRF攻撃も成立しない” “Cookieが生成されてから2分経過してからsamesite=laxになる” “Google Chromeはsamesite=noneの時間が2分間延長”
2022/01/27 07:15
t-murachi
2分間ルールは何のために設けられてるんだろう…(´・ω・`)
2022/01/27 08:05
bouzuya
SameSite=Lax
2022/01/27 08:31
t_motooka
2分間ルールの細かい挙動知らなかった。なるほどー。
2022/01/27 11:12
raimon49
Cookie生成後2分間はsamesite=laxとしない仕様があり、2022-01現在、ChromeとFirefoxでは微妙に挙動が異なるという詳説。何にせよ緩和策に過ぎないためWebサイト側は更新処理をPOSTメソッドで受け付けるよう留意が必要。
2022/01/29 10:24
efcl
samesite属性とCSRFについて
2022/01/30 20:20
emonkak
“samesite属性を指定しないCookieはsamesite=laxの扱いを受けますが、Cookieが生成されてから2分経過してからsamesite=laxになる”