Google грядущие изменения в Chrome, нацеленные на повышение конфиденциальности. Первая часть изменений касается обработки Cookie и поддержки атрибута SameSite. Начиная с выпуска Chrome 76, ожидаемого в июле, будет флаг «same-site-by-default-cookies», который в случае отсутствие атрибута SameSite в заголовке Set-Cookie по умолчанию будет выставлять значение «SameSite=Lax», ограничивающее отправку Cookie для вставкок со сторонних сайтов (но сайты по-прежнему смогут отменить ограничение, явно выставляя при установке Cookie значение SameSite=None).
Atribut позволяет определять ситуации, в которых допустима передача Cookie при поступлении запроса со стороннего сайта. В настоящее время браузер передаёт Cookie на любой запрос к сайту, для которого имеются выставленные Cookie, даже если изначально открыт другой сайт, а обращение осуществляется косвенно при помощи загрузки картинки или через iframe. Рекламные сети используют данную особенность для отслеживания перемещений пользователя между сайтами, а
злоумышленники для организации (при открытии подконтрольного атакующим ресурса с его страниц скрыто отправляется запрос на другой сайт, на котором аутентифицирован текущий пользователь, и браузер пользователя выставляет для такого запроса сессионные Cookie). С другой стороны возможность отправки Cookie на сторонние сайты применяется для вставки на страницы виджетов, например, для интеграции с YuoTube или Facebook.
При помощи атрибута SameSit можно управлять поведением при выставлении Cookie и разрешить отправку Cookie только в ответ на запросы, инициированные с сайта, с которого эти Cookie изначально были получены. SameSite может принимать три значения «Strict», «Lax» и «None». В режиме ‘Strict’ Cookie не отправляются для любых видов межсайтовых запросов, включая все входящие ссылки с внешних сайтов. В режиме ‘Lax’ применяются более мягкие ограничения и передача Cookie блокируется только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe. Отличие «Strict» и «Lax» сводятся к блокировке Cookie при переходе по ссылке.
Из других предстоящих изменений также намечается применение жёсткого ограничения, запрещающего обработку сторонних Cookie для запросов без HTTPS (с атрибутом SameSite=None Cookie смогут выставляться только в режиме Secure). Кроме того, планируется выполнение работы по защите от применения скрытой идентификации («browser fingerprinting»), включая методы генерации идентификаторов на основе косвенных данных, таких как , lista podržanih MIME tipova, specifični parametri u zaglavljima ( и ), analiza instaliranih , dostupnost određenih Web API-ja, specifičnih za video kartice renderiranje koristeći WebGL i Canvas, sa CSS-om, analiza karakteristika rada sa и .
Кроме того в Chrome защита от злоупотреблений, связанных с затруднением возврата на исходную страницу после перехода на другой сайт. Речь ведётся о практике захламления истории переходов серией автоматических редиректов или искусственным добавлением фиктивных записей в историю просмотров (через pushState), в результате чего пользователь не может воспользоваться кнопкой «Back» для возврата на исходную страницу после случайного перехода или принудительного проброса на сайт мошенников или вредителей. Для защиты от подобных манипуляций Chrome в обработчике кнопки Back будет пропускать записи, связанные с автоматическими пробросами и манипуляциями с историей посещений, оставляя только страницы, открытие при явных действиях пользователя.
izvor: opennet.ru