Aunque la nueva versión de Windows 10, llamada April 2018 Update, ha llegado hace poco más de dos semanas, Microsoft ha lleva tiempo trabajando en Redstone 5, la que será la siguiente actualización de su sistema operativo y que llegará a todos los usuarios el próximo mes de octubre. Poco a poco se van conociendo las novedades que llegarán con la próxima actualización del sistema operativo, como, por ejemplo, Sets, Cloud Clipboard o una novedad que acabamos de conocer y nos permitirá mejorar nuestra seguridad al navegar por Internet: SameSite Cookies.
Ayer mismo, los compañeros de SoftZone nos hablan del lanzamiento de la Build 17672 para Windows 10 Redstone 5, una nueva compilación que poco a poco va dando forma a la próxima actualización del sistema operativo. Entre todas las novedades que han llegado a esta nueva versión de Windows 10, una de las más interesantes, enfocada a la seguridad de los usuarios, es SameSite Cookies.
SameSite Cookies, una capa de seguridad adicional frente a los ataques Cross-Site Request Forgery
Cuando un sitio web realiza una petición cross-origin, el sitio web de origen envía la cookie al sitio web de destino de manera que, por ejemplo, un usuario pueda tener la sesión iniciada en un segundo sitio utilizando los mismos datos de acceso que en un primero. A grandes rasgos, así es como funcionan plataformas como Auth0, que nos permiten iniciar sesión en una web utilizando los datos de Google, Twitter o Facebook, por ejemplo.
Esto es muy cómodo ya que nos permite utilizar una única plataforma para iniciar sesión en distintas webs sin tener que registrarnos en ellas, aprovechando la sesión de la otra web. Sin embargo, esta técnica también puede ser utilizada por piratas informáticos para robar sesiones de usuarios.
SameSite Cookies es un estándar diseñado para proteger a los usuarios de los ataques Cross-Site Request Forgery (CSRF). Este nuevo estándar llegará a Internet Explorer y Microsoft Edge ofreciendo un mayor control a la hora de compartir las cookies de acceso con otras webs y evitando compartir esta información mediante los ataques Cross-Site Request Forgery.
Microsoft ha confirmado que esta medida de seguridad también va a llegar a las versiones anteriores de Windows 10, probablemente a la actual April 2018 Update y a la vieja Fall Creators Update, aunque de momento Microsoft no ha dado más información sobre cuándo llegará a estos sistemas operativos, aunque fácilmente podría llegar incluso antes del lanzamiento de esta nueva actualización.
El simple hecho de compartir una cookie ya es un riesgo para la privacidad
Los defensores de la seguridad y privacidad aseguran que la única manera de garantizar la seguridad y privacidad de las cookies es que estas sean únicas de cada web, impidiendo que ninguna otra página o recurso pueda acceder a ellas. Sin embargo, como esto no funciona así, al menos esta medida de seguridad nos ayudará a estar un poco más seguros al utilizar este tipo de funciones. El aviso de cookies es necesario en una web.
La medida ideal para la seguridad y privacidad de páginas web sería que cada página se abriera en una sandbox diferente, totalmente aisladas del resto de webs y programas del ordenador o dispositivo, igual que funcionan, por ejemplo, los perfiles de Google Chrome o los contenedores de Firefox.
Por desgracia, esto no es así, y tal como está evolucionando Internet, tampoco lo va a ser en un futuro.
¿Qué opinas sobre la nueva medida de seguridad SameSite Cookies que llegará a Windows 10?
Os recomendamos visitar nuestro tutorial sobre hackear la clave de Windows.