کروم اکنون از محافظت در برابر کوکی های شخص ثالث و شناسایی پنهان برخوردار خواهد بود

گوگل ارایه شده تغییرات آتی در Chrome با هدف بهبود حریم خصوصی. بخش اول تغییرات مربوط به مدیریت کوکی و پشتیبانی از ویژگی SameSite است. با شروع انتشار کروم 76 که انتظار می رود در ماه جولای منتشر شود، وجود خواهد داشت فعال شد پرچم «کوکی‌های مشابه سایت با پیش‌فرض»، که در غیاب ویژگی SameSite در هدر Set-Cookie، به‌طور پیش‌فرض مقدار «SameSite=Lax» را تعیین می‌کند و ارسال کوکی‌ها را برای درج از سایت‌های شخص ثالث (اما سایت‌ها همچنان می‌توانند با تنظیم صریح مقدار SameSite=None هنگام تنظیم کوکی، محدودیت را لغو کنند).

صفت همان سایت به شما امکان می دهد موقعیت هایی را تعریف کنید که در آن هنگام دریافت درخواست از یک سایت شخص ثالث، ارسال یک کوکی مجاز است. در حال حاضر، مرورگر به هر درخواستی به سایتی که کوکی برای آن تنظیم شده است، یک کوکی ارسال می کند، حتی اگر سایت دیگری در ابتدا باز شده باشد، و درخواست به صورت غیر مستقیم با بارگذاری یک تصویر یا از طریق یک iframe انجام می شود. شبکه های تبلیغاتی از این ویژگی برای ردیابی حرکات کاربران بین سایت ها و
مهاجمان برای سازمان حملات CSRF (زمانی که منبعی که توسط مهاجم کنترل می شود باز می شود، درخواستی مخفیانه از صفحات آن به سایت دیگری که کاربر فعلی در آن احراز هویت شده است ارسال می شود و مرورگر کاربر کوکی های جلسه را برای چنین درخواستی تنظیم می کند). از سوی دیگر، توانایی ارسال کوکی ها به سایت های شخص ثالث برای درج ویجت ها در صفحات، به عنوان مثال، برای ادغام با YuoTube یا Facebook استفاده می شود.

با استفاده از ویژگی SameSit، می‌توانید رفتار کوکی را کنترل کنید و اجازه دهید کوکی‌ها فقط در پاسخ به درخواست‌هایی که از سایتی که کوکی از آنجا دریافت شده است، ارسال شوند. SameSite می تواند سه مقدار "Strict"، "Lax" و "None" را بگیرد. در حالت "سخت"، کوکی ها برای هر نوع درخواست بین سایتی، از جمله تمام پیوندهای دریافتی از سایت های خارجی ارسال نمی شوند. در حالت «لاکس»، محدودیت‌های راحت‌تری اعمال می‌شود و انتقال کوکی فقط برای درخواست‌های فرعی بین سایتی، مانند درخواست تصویر یا بارگیری محتوا از طریق iframe مسدود می‌شود. تفاوت بین «سخت» و «لاکس» به مسدود کردن کوکی‌ها هنگام دنبال کردن یک پیوند بازمی‌گردد.

در میان سایر تغییرات آتی، همچنین برنامه‌ریزی شده است که محدودیت سختی اعمال شود که پردازش کوکی‌های شخص ثالث را برای درخواست‌های بدون HTTPS ممنوع می‌کند (با ویژگی SameSite=None، کوکی‌ها را فقط می‌توان در حالت امن تنظیم کرد). علاوه بر این، برنامه ریزی شده است تا کارهایی برای محافظت در برابر استفاده از شناسایی پنهان ("اثرانگشت مرورگر")، از جمله روش هایی برای تولید شناسه ها بر اساس داده های غیرمستقیم، مانند وضوح صفحه، لیست انواع MIME پشتیبانی شده، پارامترهای خاص در هدر (HTTP / 2 и HTTPS، تجزیه و تحلیل نصب شده است افزونه ها و فونت ها، در دسترس بودن برخی از API های وب خاص، مخصوص کارت های ویدئویی ویژگی های رندر با استفاده از WebGL و Canvas، دستکاری - اعمال نفوذ با CSS، تجزیه و تحلیل ویژگی های کار با موش и یک صفحه کلید.

همچنین در کروم اضافه خواهد شد محافظت در برابر سوء استفاده مرتبط با مشکل در بازگشت به صفحه اصلی پس از انتقال به سایت دیگر. ما در مورد تمرین به هم ریختن تاریخچه ناوبری با یک سری تغییر مسیر خودکار یا افزودن مصنوعی ورودی های ساختگی به تاریخچه مرور (از طریق pushState) صحبت می کنیم که در نتیجه کاربر نمی تواند از دکمه "بازگشت" برای بازگشت به صفحه استفاده کند. صفحه اصلی پس از انتقال تصادفی یا ارسال اجباری به سایت کلاهبرداران یا خرابکاران. برای محافظت در برابر چنین دستکاری‌هایی، Chrome در کنترل‌کننده دکمه «بازگشت» از سوابق مرتبط با بازارسال خودکار و دستکاری تاریخچه مرور صرفنظر می‌کند و تنها صفحاتی را که به دلیل اقدامات صریح کاربر باز می‌شوند باقی می‌ماند.

منبع: opennet.ru