متصفح الجوجل تهدف التغييرات القادمة إلى Chrome إلى تحسين الخصوصية. يتعلق الجزء الأول من التغييرات بمعالجة ملفات تعريف الارتباط ودعم سمة SameSite. بدءًا من إصدار Chrome 76، المتوقع في شهر يوليو، سيكون هناك علامة "same-site-by-default-cookies"، والتي، في حالة عدم وجود سمة SameSite في رأس Set-Cookie، ستقوم افتراضيًا بتعيين القيمة "SameSite=Lax"، مما يحد من إرسال ملفات تعريف الارتباط للإدراج من مواقع الطرف الثالث (ولكن ستظل المواقع قادرة على إلغاء التقييد عن طريق تعيين القيمة SameSite=None بشكل صريح عند تعيين ملف تعريف الارتباط).
ينسب يسمح لك بتحديد المواقف التي يجوز فيها إرسال ملف تعريف الارتباط عند تلقي طلب من موقع تابع لجهة خارجية. حاليًا، يرسل المتصفح ملف تعريف الارتباط إلى أي طلب إلى موقع تم تعيين ملف تعريف الارتباط له، حتى لو تم فتح موقع آخر في البداية، ويتم تقديم الطلب بشكل غير مباشر عن طريق تحميل صورة أو من خلال إطار iframe. تستخدم شبكات الإعلان هذه الميزة لتتبع تحركات المستخدم بين المواقع، و
مهاجمين للمنظمة (عند فتح مورد يتحكم فيه المهاجم، يتم إرسال طلب سرًا من صفحاته إلى موقع آخر يتم من خلاله مصادقة المستخدم الحالي، ويقوم متصفح المستخدم بتعيين ملفات تعريف الارتباط للجلسة لمثل هذا الطلب). من ناحية أخرى، يتم استخدام القدرة على إرسال ملفات تعريف الارتباط إلى مواقع الطرف الثالث لإدراج عناصر واجهة المستخدم في الصفحات، على سبيل المثال، للتكامل مع YuoTube أو Facebook.
باستخدام سمة SameSit، يمكنك التحكم في سلوك ملفات تعريف الارتباط والسماح بإرسال ملفات تعريف الارتباط فقط استجابة للطلبات التي يتم البدء بها من الموقع الذي تم تلقي ملف تعريف الارتباط منه في الأصل. يمكن أن يأخذ SameSite ثلاث قيم "Strict" و"Lax" و"None". في الوضع "الصارم"، لا يتم إرسال ملفات تعريف الارتباط لأي نوع من الطلبات عبر المواقع، بما في ذلك جميع الروابط الواردة من المواقع الخارجية. في الوضع "Lax"، يتم تطبيق قيود أكثر استرخاءً ويتم حظر نقل ملفات تعريف الارتباط فقط للطلبات الفرعية عبر المواقع، مثل طلب الصورة أو تحميل المحتوى عبر إطار iframe. يكمن الفرق بين "Strict" و"Lax" في حظر ملفات تعريف الارتباط عند اتباع الرابط.
من بين التغييرات القادمة الأخرى، من المخطط أيضًا تطبيق قيود صارمة تحظر معالجة ملفات تعريف الارتباط التابعة لجهات خارجية للطلبات التي لا تحتوي على HTTPS (باستخدام السمة SameSite=None، لا يمكن تعيين ملفات تعريف الارتباط إلا في الوضع الآمن). بالإضافة إلى ذلك، من المخطط تنفيذ أعمال للحماية من استخدام التعريف المخفي ("بصمات المتصفح")، بما في ذلك طرق إنشاء معرفات تعتمد على بيانات غير مباشرة، مثل ، قائمة بأنواع MIME المدعومة، ومعلمات محددة في الرؤوس ( и )، تحليل المثبتة ، توفر واجهات برمجة تطبيقات ويب معينة خاصة ببطاقات الفيديو العرض باستخدام WebGL وCanvas، مع CSS، تحليل ميزات العمل معها и .
أيضا في كروم الحماية من إساءة الاستخدام المرتبطة بصعوبة العودة إلى الصفحة الأصلية بعد الانتقال إلى موقع آخر. نحن نتحدث عن ممارسة تشوش سجل التنقل بسلسلة من عمليات إعادة التوجيه التلقائية أو إضافة إدخالات وهمية بشكل مصطنع إلى سجل التصفح (عبر PushState)، ونتيجة لذلك لا يمكن للمستخدم استخدام زر "العودة" للعودة إلى الصفحة الأصلية بعد الانتقال غير المقصود أو إعادة التوجيه القسري إلى موقع المحتالين أو المخربين. للحماية من مثل هذه التلاعبات، سيتخطى Chrome في معالج زر الرجوع السجلات المرتبطة بإعادة التوجيه التلقائي ومعالجة سجل التصفح، مع ترك فقط الصفحات المفتوحة بسبب إجراءات المستخدم الصريحة.
المصدر: opennet.ru