Look at this amazing cat!
Read the article.
Y la cookie se configuró de esta manera: Set-Cookie: promo_shown=1; SameSite=Lax Cuando el lector esté en el blog de la otra persona, la cookie no se enviará en el momento en que el navegador solicite la imagen amazing-cat.png. Sin embargo, cuando el lector siga el enlace hacia cat.html en su blog, esa solicitud incluirá la cookie. Esto hace que Lax sea una buena opción para las cookies que afectan la visualización del sitio con Strict, debido a que es útil para las cookies relacionadas con las acciones que efectúa su usuario. Precaución Ni Strict ni Lax son una solución integral para mantener la seguridad de su sitio. Las cookies se envían como parte de las solicitudes del usuario y debe tratarlas de la misma forma en que lo haría con cualquier otra entrada de él. Eso significa que debe desinfectar y validar la entrada. Nunca utilice una cookie para almacenar datos que considere un secreto del lado del servidor. Finalmente existe la opción de no especificar el valor, que hasta el momento era la forma de indicar implícitamente que la cookie debe enviarse en todos los contextos. En el último borrador de la extensión RFC6265bis esto se hace explícito al introducir un nuevo valor para SameSite=None. De modo que puede usar None para comunicar claramente que la cookie debe enviarse intencionalmente en un contexto de terceros. Las tres cookies se etiquetaron como None, Lax, o Strict dependiendo de su contexto El contexto de una cookie se indica explícitamente como None, Lax, o Strict. Si proporciona un servicio que otros sitios consumen, como widgets, contenido incrustado, programas para afiliados, publicidad o inicios de sesión en varios sitios, debe usar None para asegurarse de que su intención sea clara. Cambios en el comportamiento predeterminado cuando no se usa SameSite # Si bien el atributo SameSite cuenta con bastante apoyo, desafortunadamente no tuvo demasiada aceptación por parte de los desarrolladores. La configuración abierta en la que se envían cookies a todas partes de forma predeterminada implica que todos los casos de uso funcionan, pero se deja vulnerable al usuario ante los CSRF y a las fugas de información de manera involuntaria. Para alentar a los desarrolladores a manifestar su intención y brindarles a los usuarios una experiencia más segura, la propuesta de IETF, Incrementally Better Cookies, establece dos cambios fundamentales: Las cookies que no tienen un atributo SameSite se tratarán como SameSite=Lax . Las cookies con SameSite=None también deben especificar a Secure, esto significa que requieren de un contexto seguro. Chrome implementa estos comportamientos predeterminados a partir de la versión 84. En Firefox están disponibles para probarlos a partir de la versión Firefox 69 y, en el futuro, los convertirá en comportamientos predeterminados. Para probar estos comportamientos en Firefox, abra about:config y configure network.cookie.sameSite.laxByDefault. Edge también planea cambiar sus comportamientos predeterminados. Este artículo se actualizará a medida que los navegadores adicionales anuncien su compatibilidad. Cuando SameSite=Lax se encuentra de forma predeterminada # No attribute set Set-Cookie: promo_shown=1 Si envía una cookie sin especificar ningún atributo SameSite Default behavior applied Set-Cookie: promo_shown=1; SameSite=Lax El navegador tratará esa cookie como si se hubiera especificado SameSite=Lax. Si bien la intención es implementar un valor predeterminado más seguro, lo ideal sería establecer un atributo SameSite de manera explícita en vez de confiar en que el navegador lo aplicará por usted. Esto hace que su intención para la cookie sea explícita y aumenta la probabilidad de tener una experiencia uniforme en todos los navegadores. Precaución El comportamiento predeterminado que implementó Chrome es un poco más permisivo que un SameSite=Lax explícito, pues permitirá que ciertas cookies se envíen en las solicitudes POST de nivel superior. Puede ver los detalles exactos en el anuncio de blink-dev. La intención de estas medidas es convertirse en una mitigación temporal, sin embargo, aún debe corregir sus cookies entre sitios para usar SameSite=None; Secure. El atributo SameSite=None debe ser seguro # Rejected Set-Cookie: widget_session=abc123; SameSite=None Cuando la cookie se establezca sin el atributo Secure será rechazada. Accepted Set-Cookie: widget_session=abc123; SameSite=None; Secure Debe asegurarse de conjuntar a SameSite=None con el atributo Secure. Puede probar este comportamiento a partir de la versión Chrome 76 si habilita about://flags/#cookies-without-same-site-must-be-secure, y desde Firefox 69 en about:config al configurar network.cookie.sameSite.noneRequiresSecure. Es necesario que lo aplique cuando configure nuevas cookies y en caso de que quiera actualizar de manera activa las cookies ya existentes, incluso si estas no están cerca de su fecha de vencimiento. Si confía en algún servicio que proporcione contenido de terceros en su sitio, también debe verificar con dicho proveedor que sus servicios se actualizan continuamente. Es posible que usted también deba actualizar sus dependencias o fragmentos para garantizar que su sitio acepta el nuevo comportamiento. Ambos cambios son compatibles con las versiones previas de los navegadores que implementaron correctamente la versión anterior del atributo SameSite, o que simplemente no lo implementaron en absoluto. Al aplicar estos cambios a sus cookies, hace explícito el uso que se tenía previsto de las mismas, en lugar de confiar en el comportamiento predeterminado del navegador. Del mismo modo, cualquier cliente que no reconozca a SameSite=None hasta este momento debería ignorarlo y continuar como si el atributo no se hubiera establecido. Advertencia Varias versiones antiguas de los navegadores, entre los que se incluyen Chrome, Safari y UC, no son compatibles con el nuevo atributo None y pueden ignorar o restringir la cookie. Este comportamiento se corrige en las versiones actuales, pero es necesario que compruebe su tráfico para determinar qué proporción de sus usuarios se ven afectados. Puede ver la lista de clientes conocidos que no son compatibles en el sitio de Chromium. Recetas para usar las cookies en SameSite # Si desea obtener más información sobre la manera exacta para actualizar sus cookies e implementar con éxito estos cambios en SameSite=None, así como la diferencia en el comportamiento del navegador, vaya al artículo de seguimiento, Recetas para usar las cookies en SameSite. Me gustaría agradecer a Lily Chen, Malte Ubl, Mike West, Rob Dodson, Tom Steiner y Vivek Sekhar por todas sus contribuciones y valiosos comentarios. Imagen Cookie hero realizada por Pille-Riin Priske en Unsplash “” https://web.dev/samesite-cookies-explained/ https://web.dev/samesite-cookies-explained/Discover more from La Bitácora del raro y bizarro Mundo de Samuel el loco Suiri Hikari
Subscribe to get the latest posts sent to your email.