Google bevorstehende Änderungen an Chrome zur Verbesserung des Datenschutzes. Der erste Teil der Änderungen betrifft die Verarbeitung von Cookies und die Unterstützung für das SameSite-Attribut. Ab der Veröffentlichung von Chrome 76, die im Juli erwartet wird, wird es solche geben das „same-site-by-default-cookies“-Flag, das bei Fehlen des SameSite-Attributs im Set-Cookie-Header standardmäßig den Wert „SameSite=Lax“ setzt und so das Senden von Cookies für Einfügungen von einschränkt Websites von Drittanbietern (Websites können die Einschränkung jedoch weiterhin aufheben, indem sie beim Setzen des Cookies explizit den Wert SameSite=None festlegen).
Attribut ermöglicht es Ihnen, Situationen zu definieren, in denen das Senden eines Cookies zulässig ist, wenn eine Anfrage von einer Website eines Drittanbieters eingeht. Derzeit sendet der Browser bei jeder Anfrage an eine Website, für die ein Cookie gesetzt wurde, ein Cookie, auch wenn zunächst eine andere Website geöffnet wird und die Anfrage indirekt durch das Laden eines Bildes oder über einen Iframe erfolgt. Werbenetzwerke nutzen diese Funktion, um Benutzerbewegungen zwischen Websites zu verfolgen und
Angreifer für die Organisation (Wenn eine vom Angreifer kontrollierte Ressource geöffnet wird, wird von ihren Seiten heimlich eine Anfrage an eine andere Website gesendet, auf der der aktuelle Benutzer authentifiziert ist, und der Browser des Benutzers setzt Sitzungscookies für eine solche Anfrage). Andererseits wird die Möglichkeit, Cookies an Websites Dritter zu senden, genutzt, um Widgets in Seiten einzufügen, beispielsweise für die Integration mit YuoTube oder Facebook.
Mithilfe des SameSit-Attributs können Sie das Cookie-Verhalten steuern und zulassen, dass Cookies nur als Reaktion auf Anfragen gesendet werden, die von der Website initiiert wurden, von der das Cookie ursprünglich empfangen wurde. SameSite kann drei Werte annehmen: „Strict“, „Lax“ und „None“. Im „Streng“-Modus werden keine Cookies für standortübergreifende Anfragen jeglicher Art gesendet, einschließlich aller eingehenden Links von externen Websites. Im „Lax“-Modus gelten gelockerte Einschränkungen und die Cookie-Übertragung wird nur für seitenübergreifende Unteranfragen blockiert, beispielsweise eine Bildanfrage oder das Laden von Inhalten über einen Iframe. Der Unterschied zwischen „Streng“ und „Lax“ besteht darin, dass Cookies blockiert werden, wenn einem Link gefolgt wird.
Neben anderen bevorstehenden Änderungen ist auch die Anwendung einer strikten Einschränkung geplant, die die Verarbeitung von Drittanbieter-Cookies für Anfragen ohne HTTPS verbietet (mit dem Attribut SameSite=None können Cookies nur im sicheren Modus gesetzt werden). Darüber hinaus ist die Durchführung von Arbeiten zum Schutz vor der Verwendung versteckter Identifizierung („Browser-Fingerprinting“) geplant, einschließlich Methoden zur Generierung von Identifikatoren auf der Grundlage indirekter Daten, wie z , Liste der unterstützten MIME-Typen, Header-spezifische Optionen ( и ), Analyse der etablierten , Verfügbarkeit bestimmter Web-APIs speziell für Grafikkarten Rendering mit WebGL und Canvas, mit CSS, Analyse der Funktionen der Arbeit mit и .
Auch in Chrome Schutz vor Missbrauch im Zusammenhang mit der Schwierigkeit, nach dem Wechsel auf eine andere Website zur ursprünglichen Seite zurückzukehren. Wir sprechen von der Praxis, den Navigationsverlauf mit einer Reihe automatischer Weiterleitungen zu überladen oder künstlich fiktive Einträge zum Browserverlauf hinzuzufügen (über pushState), wodurch der Benutzer nicht über die Schaltfläche „Zurück“ zum Original zurückkehren kann Seite nach einem versehentlichen Übergang oder einer erzwungenen Weiterleitung auf die Website von Betrügern oder Saboteuren. Um sich vor solchen Manipulationen zu schützen, überspringt der Handler der Chrome-Schaltfläche „Zurück“ Datensätze, die mit der automatischen Weiterleitung und Manipulation des Browserverlaufs verbunden sind, und lässt nur Seiten übrig, die aufgrund expliziter Benutzeraktionen geöffnet werden.
Source: opennet.ru