Google Chrome'i tulevased muudatused, mille eesmärk on parandada privaatsust. Esimene osa muudatustest puudutab küpsiste käsitlemist ja atribuudi SameSite tuge. Alates Chrome 76 väljalaskmisest, mis on eeldatavasti juulis, tuleb lipp “same-site-by-default-cookies”, mis atribuudi SameSite puudumisel Set-Cookie päises seab vaikimisi väärtuse “SameSite=Lax”, piirates küpsiste saatmist sisestuste jaoks kolmandate osapoolte saidid (kuid saidid saavad siiski piirangu tühistada, määrates küpsise seadmisel selgesõnaliselt väärtuse SameSite=None).
Atribuut võimaldab teil määratleda olukorrad, kus on lubatud küpsise saatmine, kui päring on saadud kolmanda osapoole saidilt. Praegu saadab brauser küpsise igale päringule saidile, mille jaoks on küpsis seatud, isegi kui algselt avatakse mõni muu sait, ja päring tehakse kaudselt pildi laadimise või iframe'i kaudu. Reklaamivõrgustikud kasutavad seda funktsiooni, et jälgida kasutajate liikumist saitide vahel ja
ründajad organisatsiooni jaoks (Kui ründaja juhitud ressurss avatakse, saadetakse selle lehtedelt päring salaja teisele saidile, kus praegune kasutaja on autentitud, ja kasutaja brauser seab sellise päringu jaoks seansiküpsised). Teisest küljest kasutatakse võimalust saata küpsiseid kolmandate osapoolte saitidele vidinate sisestamiseks lehtedele, näiteks integreerimiseks YuoTube'i või Facebookiga.
Atribuudi SameSit abil saate juhtida küpsiste käitumist ja lubada küpsiste saatmist ainult vastuseks päringutele, mis on algatatud saidilt, kust küpsis algselt vastu võeti. SameSite võib võtta kolm väärtust "Strict", "Lax" ja "None". Range režiimis ei saadeta küpsiseid mis tahes saidiüleste päringute jaoks, sealhulgas välistelt saitidelt sissetulevate linkide jaoks. Lax-režiimis rakendatakse leebemaid piiranguid ja küpsisefailide edastamine blokeeritakse ainult saidiüleste alamtaotluste puhul, nagu pildipäring või sisu laadimine iframe'i kaudu. Erinevus "Strict" ja "Lax" vahel tuleneb küpsiste blokeerimisest lingi jälgimisel.
Muude eelseisvate muudatuste hulgas on plaanis rakendada ka ranget piirangut, mis keelab ilma HTTPS-ita päringute puhul kolmandate osapoolte küpsiste töötlemise (atribuudiga SameSite=None saab küpsiseid seada ainult turvalises režiimis). Lisaks on kavas teha töid varjatud identifitseerimise (“brauseri sõrmejälgede”) kasutamise eest kaitsmiseks, sh kaudsetel andmetel põhinevate identifikaatorite genereerimise meetodid, nt. , toetatud MIME tüüpide loend, konkreetsed parameetrid päistes ( и ), analüüs paigaldatud , teatud videokaartidele omaste veebi API-de saadavus renderdamine WebGL-i ja Canvase abil, CSS-iga töötamise funktsioonide analüüs и .
Ka Chrome'is kaitse kuritarvitamise eest, mis on seotud raskustega naasmisel algsele lehele pärast teisele saidile kolimist. Jutt käib tavast risustada navigeerimisajalugu automaatsete ümbersuunamiste seeriaga või sirvimisajalukku kunstlikult fiktiivsete kirjete lisamisega (pushState'i kaudu), mille tulemusena ei saa kasutaja kasutada nuppu "Tagasi" naasmiseks algne leht pärast juhuslikku üleminekut või sunnitud edastamist petturite või sabotööride saidile. Selliste manipulatsioonide eest kaitsmiseks jätab Chrome tagasinupu töötlejas vahele kirjed, mis on seotud automaatse edastamise ja sirvimisajaloo manipuleerimisega, jättes alles ainult need lehed, mis avatakse kasutaja selgesõnalise tegevuse tõttu.
Allikas: opennet.ru