Note di Matteo

In Chrome dall'ottobre 2026:

One year from now, with the release of Chrome 154 in October 2026, we will change the default settings of Chrome to enable “Always Use Secure Connections”. This means Chrome will ask for the user's permission before the first access to any public site without HTTPS.

How to win at CORS. Una buona risorsa completa per capire CORS (Cross-Origin Request Sharing).

Lavorare con Safari è una pena:

• i cookie Secure non vanno su localhost perché Safari non supporta Secure Context come gli altri browser.
• i sottodomini di localhost non funzionano fino a macOS 26, da cui starò alla larga per un po'.
• nella scheda Storage -> Cookies non si vedono i cookie di terze parti o dei sottodomini??? come in tutti gli altri browser.
• al momento non riesco a far funzionare un semplice cookie SameSite=Lax del tutto, su localhost con HTTPS. Nella risposta c'è, ma non lo salva. Con gli altri browser funziona.
• ok, non sono l'unico. Rinuncio.

Defunte definitivamente quasi tutte le iniziative di Chrome per uccidere i cookie di terze parti (Privacy Sandbox), restano solo i cookie partizionati e poco altro:

CHIPS and FedCM, which improve cookie privacy and security and streamline identity flows respectively, have seen broad adoption, including support from other browsers. We'll continue to support those APIs and evaluate opportunities for future enhancements. We'll also maintain Private State Tokens and explore additional approaches to help developers reduce fraud and abuse.

After evaluating ecosystem feedback about their expected value and in light of their low levels of adoption, we've decided to retire the following Privacy Sandbox technologies: Attribution Reporting API (Chrome and Android), IP Protection, On-Device Personalization, Private Aggregation (including Shared Storage), Protected Audience (Chrome and Android), Protected App Signals, Related Website Sets (including requestStorageAccessFor and Related Website Partition), SelectURL, SDK Runtime and Topics (Chrome and Android). We will follow Chrome and Android processes for phasing out these technologies and share updates on our developer site.

Fineco scrive via email: "Attenzione alle frodi bancarie". Alla fine si specifica che il sito ufficiale è https://it.finecobank.com, ma il link non porta lì. Non è così che si costruisce un sistema di fiducia.

Un po' di risorse sulle tecniche moderne per la protezione da CSRF:

• The great SameSite confusion (2021).
• Un approfondimento sul comportamento di default quando non c'è l'attributo SameSite.
• Il nuovo approccio anti CSRF basato sull'header Sec-Fetch-Site:
  • riassunto sul blog di Simon Willison;
  • l'implementazione in Go;
  • le recenti ricerche sul tema di Filippo Valsorda;
  • la discussione su Lobsters;
  • la discussione su Bluesky;
  • un pezzo di discussione su X.

TIL Argon2 per le password non è più sicuro di bcrypt come si pensa:

[...] Me (@jmgosney) and @Sc00bzT were both on the experts panel for the Password Hashing Competition, and both of us will tell you not to use Argon2 for password hashing. It is weaker than bcrypt at runtimes < 1000 ms.

Yep, we basically completely failed. We set out to identify The One True PHF and instead we selected yet another KDF. We also placed way too much emphasis on "memory hardness" when we should have been emphasizing "cache hardness."

(@TerahashCorp)