Кампанія Google будучыя змены ў Chrome, накіраваныя на павышэнне прыватнасці. Першая частка змен дакранаецца апрацоўкі Cookie і падтрымкі атрыбуту SameSite. Пачынальна з выпуску Chrome 76, чаканага ў ліпені, будзе сцяг «same-site-by-default-cookies», які ў выпадку адсутнасці атрыбуту SameSite у загалоўку Set-Cookie па змаўчанні будзе выстаўляць значэнне «SameSite=Lax», якое абмяжоўвае адпраўку Cookie для ўставак са іншых сайтаў (але сайты па-ранейшаму змогуць адмяніць абмежаванне, відавочна выстаўляючы пры ўсталёўцы Cookie значэнне SameSite = None).
Атрыбут дазваляе вызначаць сітуацыі, у якіх дапушчальная перадача Cookie пры паступленні запыту са іншага сайта. У цяперашні час браўзэр перадае Cookie на любы запыт да сайта, для якога маюцца выстаўленыя Cookie, нават калі першапачаткова адкрыты іншы сайт, а зварот ажыццяўляецца ўскосна пры дапамозе загрузкі карцінкі ці праз iframe. Рэкламныя сеткі выкарыстоўваюць дадзеную асаблівасць для адсочвання перасоўванняў карыстальніка паміж сайтамі, а
зламыснікі для арганізацыі (пры адкрыцці падкантрольнага атакавалым рэсурсу з яго старонак утоена адпраўляецца запыт на іншы сайт, на якім аўтэнтыфікаваны бягучы карыстач, і браўзэр карыстача выстаўляе для такога запыту сесійныя Cookie). З іншага боку магчымасць адпраўкі Cookie на іншыя сайты прымяняецца для ўстаўкі на старонкі віджэтаў, напрыклад, для інтэграцыі з YuoTube або Facebook.
Пры дапамозе атрыбута SameSit можна кіраваць паводзінамі пры выстаўленні Cookie і дазволіць адпраўку Cookie толькі ў адказ на запыты, ініцыяваныя з сайта, з якога гэтыя Cookie першапачаткова былі атрыманы. SameSite можа прымаць тры значэнні "Strict", "Lax" і "None". У рэжыме 'Strict' Cookie не адпраўляюцца для любых відаў міжсайтавых запытаў, уключаючы ўсе ўваходныя спасылкі са знешніх сайтаў. У рэжыме 'Lax' ужываюцца мякчэйшыя абмежаванні і перадача Cookie блакуецца толькі для міжсайтавых субзапытаў, такіх як запыт малюнка або загрузка кантэнту праз iframe. Адрозненне "Strict" і "Lax" зводзяцца да блакіроўкі Cookie пры пераходзе па спасылцы.
З іншых наступных змен таксама вызначаецца ўжыванне цвёрдага абмежавання, які забараняе апрацоўку іншых Cookie для запытаў без HTTPS (з атрыбутам SameSite=None Cookie змогуць выстаўляцца толькі ў рэжыме Secure). Акрамя таго, плануецца выкананне працы па абароне ад ужывання ўтоенай ідэнтыфікацыі («browser fingerprinting»), уключаючы метады генерацыі ідэнтыфікатараў на аснове ўскосных дадзеных, такіх як , спіс падтрымліваемых MIME-тыпаў, спецыфічныя параметры ў загалоўках ( и ), аналіз устаноўленых , даступнасць пэўных Web API, спецыфічныя для відэакарт адмалёўкі пры дапамозе WebGL і Canvas, з CSS, аналіз асаблівасцяў працы з и .
Акрамя таго ў Chrome абарона ад злоўжыванняў, звязаных з цяжкасцю вяртання на зыходную старонку пасля пераходу на іншы сайт. Гаворка вядзецца пра практыку захламлення гісторыі пераходаў серыяй аўтаматычных рэдырэктаў або штучным даданнем фіктыўных запісаў у гісторыю праглядаў (праз pushState), у выніку чаго карыстач не можа скарыстацца кнопкай «Back» для вяртання на зыходную старонку пасля выпадковага пераходу або прымусовага пракіду на сайт мошен . Для абароны ад падобных маніпуляцый Chrome у апрацоўшчыку кнопкі Back будзе прапускаць запісы, злучаныя з аўтаматычнымі пракідамі і маніпуляцыямі з гісторыяй наведванняў, пакідаючы толькі старонкі, адкрыццё пры відавочных дзеяннях карыстача.
Крыніца: opennet.ru