Google nadcházející změny ochrany osobních údajů v prohlížeči Chrome. První část změn se týká zpracování souborů cookie a podpory atributu SameSite. Počínaje vydáním Chrome 76, které se očekává v červenci, bude příznak „same-site-by-default-cookies“, který v případě nepřítomnosti atributu SameSite v hlavičce Set-Cookie bude mít výchozí hodnotu „SameSite=Lax“, což omezuje odesílání souborů cookie pro vložky ze třetí -strany (ale weby budou moci stále odstranit omezení výslovným nastavením souboru cookie na SameSite=None).
Atribut umožňuje definovat situace, ve kterých je přijatelné odeslat cookie, když je přijat požadavek z webu třetí strany. V současné době prohlížeč odešle soubor cookie na jakýkoli požadavek na stránku, která má soubor cookie nastaven, i když je původně otevřena jiná stránka, a požadavek je proveden nepřímo načtením obrázku nebo prostřednictvím prvku iframe. Reklamní sítě využívají tuto funkci ke sledování pohybu uživatelů mezi weby a
útočníky pro organizaci (při otevření zdroje ovládaného útočníkem se z jeho stránek skryje požadavek na jiný web, na kterém je aktuální uživatel ověřen, a prohlížeč uživatele nastaví pro takový požadavek soubory cookie relace). Na druhou stranu možnost posílat cookies na stránky třetích stran se používá k vkládání widgetů do stránek, například pro integraci s YuoTube nebo Facebookem.
Pomocí atributu SameSit můžete ovládat chování při nastavování souborů cookie a povolit odesílání souborů cookie pouze v reakci na požadavky pocházející z webu, který soubor cookie původně obdržel. SameSite může mít tři hodnoty „Strict“, „Lax“ a „None“. V „přísném“ režimu se soubory cookie neodesílají pro žádný druh požadavku mezi stránkami, včetně všech příchozích odkazů z externích stránek. V režimu „Lax“ se uplatňují uvolněnější omezení a přenos souborů cookie je blokován pouze u dílčích požadavků napříč weby, jako je požadavek na obrázek nebo načítání obsahu prostřednictvím prvku iframe. Rozdíl mezi „Strict“ a „Lax“ spočívá v blokování souborů cookie při kliknutí na odkaz.
Kromě dalších chystaných změn se také plánuje uplatnění tvrdého omezení, které zakáže zpracovávání cookies třetích stran pro non-HTTPS požadavky (s atributem SameSite=None lze cookies nastavit pouze v zabezpečeném režimu). Kromě toho se plánují práce na ochraně před použitím skryté identifikace („otisky prstů v prohlížeči“), včetně metod pro generování identifikátorů na základě nepřímých dat, jako je např. , seznam podporovaných typů MIME, možnosti specifické pro záhlaví ( и ), analýza zavedených dostupnost určitých webových rozhraní API specifických pro grafické karty vykreslování pomocí WebGL a Canvas, s CSS, analýza funkcí práce s и .
Také v Chrome ochrana proti zneužití spojená s obtížností návratu na původní stránku po přechodu na jiný web. Hovoříme o praxi zasypávání historie navigace sérií automatických přesměrování nebo umělého přidávání fiktivních záznamů do historie procházení (pomocí pushState), v důsledku čehož se uživatel nemůže pomocí tlačítka „Zpět“ vrátit k originálu. stránku po náhodném přechodu nebo nuceném přesměrování na stránku podvodníků nebo škůdců . Aby se ochránil před takovými manipulacemi, bude Chrome v obslužném nástroji tlačítka Zpět přeskakovat položky související s automatickým přesměrováním a manipulací s historií návštěv a ponechá pouze stránky, které se otevírají s explicitními akcemi uživatele.
Zdroj: opennet.ru