Podpora SameSite cookie v Nette a CSRF

Doplnil jsem do Nette (konkrétně do nette/http) podporu pro SameSite cookie, což je první systémová obrana proti CSRF. CSRF útok spočívá v tom, že útočník vyláká uživatele webu A na svou stránku na webu B, která nepozorovaně provádí v prohlížeči uživatele a tedy pod jeho identitou nějakou skrytou nepříjemnou činnost na webu A.

Popis najdete třeba zde:

• https://www.netsparker.com/…est-forgery/
• https://www.igvita.com/…ite-cookies/

SameSite cookie mají za cíl nahradit $form->addProtection() nebo Nextras Secured Links a nevyžadují nastartování session.

Ačkoliv se podpora pro SameSite cookie objevila v prohlížečích teprve nedávno, podle Caniuse ji už najdete v 68 % zařízení, což ještě stoupne za měsíc po vydání iOS 12.

(Zároveň je potřeba dodat, že značné procento zařízení je nepodporuje, takže addProtection & spol. zatím opustit nelze.)

Jak vypadá podpora v Nette 2.4 (2018–09–18)?

Tak jednak přibyl nový parametr $sameSite v metodě Nette\Http\Response::setCookie(), který může nabývat hodnot 'Lax', 'Strict' nebo null. Ale to není tak zajímavé.

Daleko užitečnější ovšem je posílání session ID s nastavením sameSite: Lax. Lax říká, že pokud se na web odešle POST formulář z jiné domény, nestane se tak pod aktuálně přihlášeným uživatelem. Jednoduše v HTTP požadavku bude chybět cookie se session ID (týká se to i AJAXových požadavků, iframe apod). Tohle se v praxi ukázalo jako problematické kvůli nestandardní implementaci v Safari pro iOS. (info)

Ochranu spustíte konfigurací:

session:
	cookieSamesite: Lax

Pojďme k dál.

Změny na webu by správně měly dělat jen POST požadavky, ale zcela běžně se k tomu používají i GET požadavky, tedy odkazy, jako například <a n:href="...">smazat</a>. U těchto odkazů také nechceme, aby je bylo možné vyvolat útočníkem z jiné domény. Řešením je buď odkazy zaměnit za tlačítka, u kterých ochranu zajišťuje už výše uvedená ochrana cookie se session ID, nebo zůstat u odkazů a kontrolovat na straně presenteru, zda akce byly vyvolány ze stejné domény.

Ukázka nahrazení odkazu za POSTové tlačítko:

odkaz
<a n:href="...">smazat</a>

nahradíme za tlačítko (pozn. attribut form nefunguje v IE 11)
<button formaction="..." form=postform>smazat</button>

+ na začátek stránky přidáme
<form id=postform method=post></form>

Pokud nepoužijeme tlačítko a zůstaneme u odkazů, je třeba kontrolovat na straně presenteru, zda akci vyvolal náš server.

Nejprve tedy aktivujeme podporu pro tuto feature pomocí konfigurace:

http:
	sameSiteProtection: yes

# zároveň aktivuje i výše uvedené cookieSamesite: Lax, které už není potřeba nastavovat

A pro test na straně presenteru poslouží metoda Nette\Http\Request::isSameSite(). Pokud odkaz nebyl odkliknut na našem serveru, musíme uživatele přesměrovat jinam, protože opakovaný požadavek vyvolaný stisknutím tlačítka refresh by už nemohl být tímto způsobem chráněn.

class MyPresenter extends Presenter
{
    public function handleDelete(int $id)
    {
		if (!$this->getHttpRequest()->isSameSite()) {
			$this->redirect('Sign:out');
		}
    }
}

Pokud na web přijdeme s prohlížečem, který SameSite cookie nepodporuje, vše bude fungovat, jen prostě odkazy nebudou chráněné. Proto není třeba váhat s nasazením této doplňující ochrany.

Doplněno:

Jak vypadá podpora v Nette 3?

V Nette 3 je ochrana signálů automaticky aktivní a nebude nutné ji aktivovat v konfiguraci. Netýká se to však session cookie, která příznak samesite kvůli odlišnostem v implementaci prohlížečů nemá.

Kontrolu jde pro konkrétní signál vypnout uvedením anotace:

class MyPresenter extends Presenter
{
    /**
     * @crossOrigin
     */
    public function handleDelete(int $id)
    {
    }
}