Google els propers canvis a Chrome destinats a millorar la privadesa. La primera part dels canvis es refereix al maneig de galetes i al suport de l'atribut SameSite. A partir del llançament de Chrome 76, previst al juliol, n'hi haurà el senyalador “same-site-by-default-cookies”, que, en absència de l'atribut SameSite a la capçalera Set-Cookie, establirà per defecte el valor “SameSite=Lax”, limitant l'enviament de galetes per a insercions de llocs de tercers (però els llocs encara podran cancel·lar la restricció establint explícitament el valor SameSite=None quan configureu la cookie).
Atribut us permet definir situacions en què és permès enviar una cookie quan es rep una sol·licitud d'un lloc de tercers. Actualment, el navegador envia una cookie a qualsevol sol·licitud a un lloc per al qual s'ha configurat una cookie, encara que s'obri un altre lloc inicialment, i la sol·licitud es fa indirectament carregant una imatge o mitjançant un iframe. Les xarxes de publicitat utilitzen aquesta funció per fer un seguiment dels moviments dels usuaris entre llocs i
atacants per a l'organització (quan s'obre un recurs controlat per l'atacant, s'envia secretament una sol·licitud des de les seves pàgines a un altre lloc on s'autentica l'usuari actual, i el navegador de l'usuari estableix galetes de sessió per a aquesta sol·licitud). D'altra banda, la possibilitat d'enviar Cookies a llocs de tercers s'utilitza per inserir ginys a pàgines, per exemple, per a la integració amb YuoTube o Facebook.
Mitjançant l'atribut SameSit, podeu controlar el comportament de les galetes i permetre que les galetes s'enviïn només en resposta a les sol·licituds iniciades des del lloc des del qual es va rebre originalment la galeta. SameSite pot prendre tres valors "Estricte", "Lax" i "Cap". En el mode "Estricte", no s'envien galetes per a cap tipus de sol·licitud entre llocs, inclosos tots els enllaços entrants de llocs externs. En el mode "Lax", s'apliquen restriccions més relaxades i la transmissió de galetes només es bloqueja per a subsol·licituds entre llocs, com ara una sol·licitud d'imatge o la càrrega de contingut mitjançant un iframe. La diferència entre "Estricte" i "Lax" es redueix a bloquejar les galetes en seguir un enllaç.
Entre altres canvis propers, també està previst aplicar una restricció estricta que prohibeix el processament de galetes de tercers per a sol·licituds sense HTTPS (amb l'atribut SameSite=None, les galetes només es poden configurar en mode segur). A més, es preveu dur a terme treballs de protecció contra l'ús d'identificació oculta (“empremta digital del navegador”), incloent mètodes per generar identificadors basats en dades indirectes, com ara , llista de tipus MIME admesos, paràmetres específics a les capçaleres ( и ), anàlisi d'instal·lats , disponibilitat de determinades API web, específiques de les targetes de vídeo renderització mitjançant WebGL i Canvas, amb CSS, anàlisi de les característiques de treballar amb и .
També a Chrome protecció contra l'abús associat a la dificultat per tornar a la pàgina original després de passar a un altre lloc. Estem parlant de la pràctica d'embotir l'historial de navegació amb una sèrie de redireccions automàtiques o d'afegir artificialment entrades fictícias a l'historial de navegació (mitjançant pushState), com a conseqüència de la qual cosa l'usuari no pot utilitzar el botó "Enrere" per tornar al pàgina original després d'una transició accidental o un reenviament forçat al lloc d'estafadors o sabotejadors. Per protegir-se d'aquestes manipulacions, Chrome al controlador del botó Enrere ometrà els registres associats amb el reenviament automàtic i la manipulació de l'historial de navegació, deixant només les pàgines que s'obren a causa d'accions explícites de l'usuari.
Font: opennet.ru