Google Die bevorstehenden Änderungen in Chrome zielen darauf ab, die Privatsphäre zu erhöhen. Der erste Teil dieser Änderungen betrifft die Verarbeitung von Cookies und die Unterstützung des SameSite-Attributs. Ab der Veröffentlichung von Chrome 76, die für Juli erwartet wird, wird Flag „same-site-by-default-cookies“ aktiviert, das im Falle des Fehlens des SameSite-Attributs im Set-Cookie-Header standardmäßig den Wert „SameSite=Lax“ festlegt. Dies beschränkt die Übertragung von Cookies für Einbettungen von Drittanbieterseiten (aber die Seiten können die Einschränkung weiterhin aufheben, indem sie beim Setzen des Cookies explizit den Wert SameSite=None angeben).
Das Attribut ermöglicht die Festlegung der Situationen, in denen die Übertragung von Cookies bei Anfragen von Drittanbieterseiten zulässig ist. Derzeit überträgt der Browser Cookies bei jeder Anfrage an eine Website, für die Cookies gesetzt sind, selbst wenn ursprünglich eine andere Seite geöffnet wurde und der Zugriff indirekt durch das Laden eines Bildes oder über ein iframe erfolgt. Werbenetzwerke nutzen diese Besonderheit, um die Benutzerbewegungen zwischen Seiten zu verfolgen, und
Angreifer zur Durchführung von (Wenn eine vom Angreifer kontrollierte Ressource geöffnet wird, wird im Hintergrund eine Anfrage an eine andere Website gesendet, auf der der aktuelle Benutzer angemeldet ist, und der Browser des Benutzers sendet die Sitzungs-Cookies für diese Anfrage). Auf der anderen Seite wird die Möglichkeit, Cookies an Drittanbieter-Websites zu senden, verwendet, um Widgets auf Seiten einzufügen, beispielsweise zur Integration mit YouTube oder Facebook.
Mit dem Attribut SameSite kann das Verhalten beim Setzen von Cookies verwaltet werden, sodass Cookies nur als Antwort auf Anfragen gesendet werden, die von der Website initiiert wurden, von der diese Cookies ursprünglich stammen. SameSite kann drei Werte annehmen: „Strict“, „Lax“ und „None“. Im 'Strict'-Modus werden Cookies nicht für irgendeine Art von Cross-Site-Anfragen gesendet, einschließlich aller eingehenden Links von externen Websites. Im 'Lax'-Modus gelten weniger strenge Einschränkungen, und das Senden von Cookies wird nur für intersite Subanfragen blockiert, wie z.B. beim Anfordern eines Bildes oder beim Laden von Inhalten über ein iframe. Der Unterschied zwischen ‚Strict‘ und ‚Lax‘ besteht darin, dass Cookies bei einem Linkklick blockiert werden.
Unter den bevorstehenden Änderungen wird auch eine strikte Regelung eingeführt, die die Verarbeitung von Drittanbieter-Cookies für Anfragen ohne HTTPS verbietet (Cookies mit dem Attribut SameSite=None dürfen nur im sicheren Modus gesetzt werden). Darüber hinaus sind Maßnahmen zum Schutz vor versteckter Identifizierung („Browser Fingerprinting“) geplant, einschließlich Methoden zur Generierung von Identifikatoren basierend auf indirekten Daten wie , einer Liste unterstützter MIME-Typen, spezifischen Parametern in den Headern ( und ), der Analyse installierter , der Verfügbarkeit bestimmter Web-APIs, die spezifisch für Grafikkarten sind der Darstellung mittels WebGL und Canvas, mit CSS, der Analyse der Besonderheiten bei der Interaktion mit und .
Darüber hinaus wird in Chrome Schutz vor Missbrauch in Form von Schwierigkeiten beim Zurückkehren zur ursprünglichen Seite nach dem Besuch einer anderen Website. Hierbei handelt es sich um die Praxis, den Verlauf durch eine Reihe automatischer Weiterleitungen oder durch künstliches Hinzufügen von gefälschten Einträgen in den Verlauf (über pushState) zu überladen, wodurch der Benutzer nicht die „Zurück“-Schaltfläche benutzen kann, um zur ursprünglichen Seite zurückzukehren, nachdem er versehentlich auf eine andere Seite gewechselt ist oder gezwungen wurde, auf eine betrügerische oder schädliche Website weitergeleitet zu werden. Um sich vor solchen Manipulationen zu schützen, wird Chrome im Handler der „Zurück“-Schaltfläche Einträge überspringen, die mit automatischen Weiterleitungen und Manipulationen des Besuchsverlaufs verbunden sind, und nur Seiten belassen, die durch explizite Benutzeraktionen geöffnet wurden.
Quelle: opennet.ru
