Vielleicht macht etwas davon Sinn: Cross-Site Request Forgery is dead!
Vielen Dank für den Hinweis.
Nun, das Problem dabei ist die Browserunterstützung. Wenn ich mir die Liste hier anschaue, kann es noch etwas dauern, bis man dies wirklich überall nutzen kann. Solange macht nur die CSRF Protection Sinn…
Würde ich mal nicht behaupten, wie der Typ schon selber schreibt: Es wird nur bisher von wenigen Browser(-Versionen) unterstützt. Auch ist seine Argumentation widersprüchlich, dass Browser, die es nicht kennen, es einfach ignorieren würden. Welchen Gewinn haben wir also davon? Denke keinen, oder? Weil wenn wir davon ausgehen, dass wir jetzt CSRF Tokens entfernen und nur noch auf dieses SameSite Cookie setzen, dann haben wir ein offenes Scheunentor.
Also schöne neue Sache, aber noch nicht “salonfähig”, damit auch noch keine “Pflichtlektüre”…
Also schöne neue Sache, aber noch nicht „salonfähig“, damit auch noch keine „Pflichtlektüre“…
hä? wann beschäftigst Du dich mit Themen? Hoffentlich frühzeitig. Und wenn ich an die ganzen Shop die derzeit CSRF-Protection abschalten denke…
Also schöne neue Sache, aber noch nicht „salonfähig“, damit auch noch keine „Pflichtlektüre“…
hä? wann beschäftigst Du dich mit Themen? Hoffentlich frühzeitig.
Les Dir meine Antwort bitte nochmal genau durch. Allein Deine Fragestellung sagt doch aus, dass ich mich damit beschäftigt haben muss, oder?
Aber um Deine Frage zu beantworten: Solange das nicht auf heise.de oder in den OWASP gelistet ist, muss man dem nicht allzu viel Beachtung schenken. Würde man jede neue Kleinigkeit, die das Web jeden Tag so mit sich bringt, bzw. die ein Blogger schreibt oder berichtet, in sein eigenes Projekt einbauen wollen, dann käme man gar nicht mehr voran… Ich meine alle paar Monate auf ein neues JS Frontend umstellen, nur weil wieder mal einer meint, er hätte das JS Frontend hinsichtlich Usability und Performance neu erfunden, macht doch keinen Spaß…
Also schöne neue Sache, aber noch nicht „salonfähig“, damit auch noch keine „Pflichtlektüre“…
hä? wann beschäftigst Du dich mit Themen? Hoffentlich frühzeitig.
Les Dir meine Antwort bitte nochmal genau durch. Allein Deine Fragestellung sagt doch aus, dass ich mich damit beschäftigt haben muss, oder?
ich meine nicht Dich sondern die Entwickler. Pflichtlektüre heißt lediglich sich damit zu beschäftigen.