Google komende veranderinge aan Chrome wat daarop gemik is om privaatheid te verbeter. Die eerste deel van die veranderinge handel oor koekiehantering en ondersteuning vir die SameSite-kenmerk. Vanaf die vrystelling van Chrome 76, wat in Julie verwag word, sal daar wees die “same-site-by-default-cookies”-vlag, wat, in die afwesigheid van die SameSite-kenmerk in die Set-Cookie-kopskrif, by verstek die waarde “SameSite=Lax” sal stel, wat die stuur van koekies vir invoegings vanaf derdeparty-webwerwe (maar werwe sal steeds die beperking kanselleer deur die waarde SameSite=Geen uitdruklik in te stel wanneer die koekie gestel word).
Eienskap laat jou toe om situasies te definieer waarin dit toelaatbaar is om 'n koekie te stuur wanneer 'n versoek van 'n derdeparty-werf ontvang word. Tans stuur die blaaier 'n koekie na enige versoek na 'n webwerf waarvoor 'n koekie gestel is, selfs al word 'n ander webwerf aanvanklik oopgemaak, en die versoek word indirek gemaak deur 'n prent of deur 'n iframe te laai. Advertensienetwerke gebruik hierdie kenmerk om gebruikersbewegings tussen werwe na te spoor, en
aanvallers vir die organisasie (wanneer 'n hulpbron wat deur die aanvaller beheer word oopgemaak word, word 'n versoek in die geheim vanaf sy bladsye na 'n ander webwerf gestuur waarop die huidige gebruiker geverifieer is, en die gebruiker se blaaier stel sessiekoekies vir so 'n versoek). Aan die ander kant word die vermoë om koekies na derdeparty-webwerwe te stuur gebruik om legstukke in bladsye in te voeg, byvoorbeeld vir integrasie met YuoTube of Facebook.
Deur die SameSit-kenmerk te gebruik, kan jy koekiegedrag beheer en toelaat dat koekies gestuur word slegs in reaksie op versoeke wat geïnisieer is vanaf die webwerf waarvandaan die koekie oorspronklik ontvang is. SameSite kan drie waardes "Streng", "Laks" en "Geen" neem. In 'Streng'-modus word koekies nie gestuur vir enige soort kruiswerfversoeke nie, insluitend alle inkomende skakels vanaf eksterne werwe. In 'Lax'-modus word meer ontspanne beperkings toegepas en koekie-oordrag word slegs geblokkeer vir sub-versoeke oor werf, soos 'n prentversoek of die laai van inhoud via 'n iframe. Die verskil tussen "Streng" en "Laks" kom daarop neer dat koekies geblokkeer word wanneer 'n skakel volg.
Onder ander opkomende veranderinge word daar ook beplan om 'n streng beperking toe te pas wat die verwerking van derdeparty-koekies vir versoeke sonder HTTPS verbied (met die SameSite=None-kenmerk kan koekies slegs in Veilige modus gestel word). Daarbenewens word daar beplan om werk uit te voer om te beskerm teen die gebruik van verborge identifikasie ("blaaiervingerafdrukke"), insluitend metodes vir die generering van identifiseerders gebaseer op indirekte data, soos bv. , lys van ondersteunde MIME-tipes, spesifieke parameters in kopskrifte ( и ), ontleding van geïnstalleer , beskikbaarheid van sekere Web API's, spesifiek vir videokaarte lewering met WebGL en Canvas, met CSS, ontleding van kenmerke van die werk met и .
Ook in Chrome beskerming teen misbruik wat geassosieer word met probleme om na die oorspronklike bladsy terug te keer nadat jy na 'n ander werf geskuif het. Ons praat oor die praktyk om die navigasiegeskiedenis deurmekaar te maak met 'n reeks outomatiese herleidings of die kunsmatige toevoeging van fiktiewe inskrywings by die blaaigeskiedenis (via pushState), as gevolg waarvan die gebruiker nie die "Terug"-knoppie kan gebruik om terug te keer na die oorspronklike bladsy na 'n toevallige oorgang of gedwonge aanstuur na die webwerf van swendelaars of saboteurs. Om teen sulke manipulasies te beskerm, sal Chrome in die Terug-knoppie-hanteerder rekords oorslaan wat verband hou met outomatiese aanstuur en manipulasie van die blaaigeskiedenis, wat slegs bladsye laat wat oopgemaak word as gevolg van eksplisiete gebruikerhandelinge.
Bron: opennet.ru