Skip to end of metadata
Go to start of metadata

Tilattomassa HTTP protokollassa keksejä [1] käytetään mm. istuntojen hallintaan, sivustojen personalisointiin ja sivustojen käytön seurantaan. Viimeisin suurempi muutos tällä saralla lienee SameSite attribuutin oletusarvon muutos Chrome 80 [2] myötä. Aiemman SameSite=none oletuksen sijaan jatkossa selaimet toimivat SameSite=Lax oletuksella. Muutoksella pyritään suojautumaan entistä paremmin mm. CSRF [3] hyökkäyksien varalta. Vaikka SameSite attribuutti on ollut selaimien tukema, vanhan oletuksen vuoksi sen käyttöönotto on kuitenkin ollut vähäistä.

Muutoksella on joissain tapauksissa vaikutusta myös SAML toteutuksiin. Shibboleth IdP ohjelmiston toimintaa on testattu [4] uuden oletuksen vaikutuksilta eri selaimilla. Haka SAML2 profiilin [5] mukaisessa käytössä testitulokset ovat odotettuja, ts. Shibboleth IdP ja kertakirjautumiset toimivat. Palveluntarjoajia kehoitetaan kuitenkin testaamaan muutoksen vaikutukset toteutuksissaan.

Yhteenvedot vaikutuksista Shibboleth IdP ja SP ohjelmistojen tapauksessa ovat saatavilla [6] [7].

[1] https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-04
[2] https://www.chromestatus.com/feature/5088147346030592
[3] https://owasp.org/www-community/attacks/csrf
[4] https://wiki.shibboleth.net/confluence/display/DEV/IdP+SameSite+Testing
[5] https://wiki.eduuni.fi/display/CSCHAKA/SAML-profiili
[6] https://wiki.shibboleth.net/confluence/display/IDP30/SameSite
[7] https://wiki.shibboleth.net/confluence/display/SP3/SameSite

  • No labels