CAPL-8457
[PENTEST] Incluir samesite flag em todos os cookies da Carol
Description
01. OBJETIVOS:
Os cookies de terceiros (3rd party) precisam das seguintes flags para funcionarem corretamente nas novas versões de browser:
-
samesite = NONE
-
secure = YES
Hoje na Carol, apenas informamos o secure, porém o atributo (flag) samesite acaba por ser omitido no envio, deixando a cargo do browser assumir um valor padrão, na autenticação com o Identity por exemplo é adotado o LAX por motivos de segurança, para evitar ataques DOM, CSRF e Cross-site scripting .
Recomenda-se evitar utilizar o valor NONE para o samesite quando se tratar de implementação com iframes, mesmo que seja indicado como secure, devido as questões de segurança expostas acima. Um caso prático de que foi implementado NONE para iframes, foi o Portal Cofco que se utiliza de widgets no dashboard desenvolvido pela TOTVS e isso representa um risco de segurança.
Precisamos garantir que os cookies sejam transmitidos em canal seguro (https) e precisamos adotar o padrão LAX em nossos fluxos sempre que for possível.
Existe uma lista de browsers com bug e incompatibilidades que precisa ser levada em conta durante a implementação: https://www.chromium.org/updates/same-site/incompatible-clients
02. PRINCIPAIS ENTREGAS:
-
Habilitar flag samesite com valor LAX para os cookies na plataforma Carol.
-
Permitir a parametrização desta flag por tenant.
-
-
Aplicar o valor LAX como padrão para a flag samesite em novas tenants.
-
Revisar e garantir que seja usado a flag secure em todos os cookies.
03. ASSETS:
04. CRITÉRIOS DE ACEITE:
-
Atender aos itens descritos acima.
05. PREMISSAS, RESTRIÇÕES, E O QUE NÃO FAREMOS