CSRF คือการหลอกให้ user กระทำ activity ใดๆตามที่ Attacker ต้องการ เมื่อเหยื่อกดเหยื่อ activity ที่ Attacker สร้างขึ้น ทาง Mozilla เห็นความสำคัญถึงช่องโหว่ดังกล่าว จึงได้ทำสิ่งที่เรียกว่า “same-site” cookie ใน Firefox version 60 เพื่อช่วยแก้ไขปัญหาดังกล่าว โดยจะออกในวันที่ 9 พค. 2018 ที่จะถึงนี้

Same-Site Cookie feature เป็น feature ที่จะป้องกันเว็บไซด์ในการ load cookie จาก domain อื่นที่ไม่ตรงกับ URL ใน address bar เช่น หากเราทำการเข้าเว็บไซด์ www.a.com ตัว Firefox จะไม่โหลด cookie ใดๆที่เป็นของ www.a.com ที่เหยื่อเข้ามาจาก www.b.com เป็นต้น

Firefox dev กล่าวว่า feature นี้ทำเพื่อป้องกัน CSRF attack โดยเฉพาะ โดยการใช้งาน Same-Site cookie จำเป็นต้องมีการ set ที่ server เพื่อใช้งาน feafutre ดังกล่าวด้วย ซึ่งจริงๆแล้วไม่ต่างกับการ set configuration ของ Cookie โดย Samesite นั้นสามารถ set ได้ 2 option คือ Strict และ Lax หากเป็น Strict ทาง Firefox จะไม่รับ cookie ใดๆที่ไม่ตรงกับ URL bar เลย แต่หากเป็น Lax ทาง Firefox จะโหลด cookie ของ domain อื่น หากการเข้านั้นเป็นการเข้าที่ “ปลอดภัย” เช่น​ หาก user ใช้งาน Facebook.com แล้วกด click link ใดๆที่เป็น domain.com หาก domain.com set Samesite ไว้ แล้วกำหนด mode เป็น lax ตัว Firefox ก็จะยอมโหลด cookie ทั้งจาก domain.com หรือ Facebook.com และปฎิเสธ domain name อื่นๆนั่นเอง

Source:: Bleeping Computer