Google os próximos cambios en Chrome destinados a mellorar a privacidade. A primeira parte dos cambios refírese ao manexo de cookies e ao soporte para o atributo SameSite. A partir do lanzamento de Chrome 76, previsto en xullo, haberá a bandeira “same-site-by-default-cookies”, que, a falta do atributo SameSite na cabeceira Set-Cookie, establecerá por defecto o valor “SameSite=Lax”, limitando o envío de Cookies para insercións de sitios de terceiros (pero os sitios aínda poderán cancelar a restrición establecendo explícitamente o valor SameSite=None ao configurar a cookie).
Atributo permítelle definir situacións nas que está permitido enviar unha cookie cando se recibe unha solicitude dun sitio de terceiros. Actualmente, o navegador envía unha cookie a calquera solicitude a un sitio para o que se estableceu unha cookie, aínda que se abra inicialmente outro sitio, e a solicitude realízase indirectamente cargando unha imaxe ou mediante un iframe. As redes de publicidade usan esta función para rastrexar os movementos dos usuarios entre sitios e
atacantes para a organización (cando se abre un recurso controlado polo atacante, desde as súas páxinas envíase unha solicitude en segredo a outro sitio no que se autentica o usuario actual e o navegador do usuario establece cookies de sesión para tal solicitude). Por outra banda, a posibilidade de enviar Cookies a sitios de terceiros utilízase para inserir widgets en páxinas, por exemplo, para a integración con YuoTube ou Facebook.
Usando o atributo SameSit, pode controlar o comportamento das cookies e permitir que as cookies se envíen só en resposta ás solicitudes iniciadas desde o sitio desde o que se recibiu orixinalmente a cookie. SameSite pode tomar tres valores "Strict", "Lax" e "None". No modo "Estrito", as cookies non se envían para ningún tipo de solicitudes entre sitios, incluídas todas as ligazóns entrantes de sitios externos. No modo "Lax", aplícanse restricións máis relaxadas e a transmisión de cookies só se bloquea para solicitudes secundarias entre sitios, como unha solicitude de imaxe ou carga de contido mediante un iframe. A diferenza entre "Estrito" e "Laxista" consiste en bloquear as cookies ao seguir unha ligazón.
Entre outros cambios próximos, tamén está previsto aplicar unha restrición estrita que prohiba o procesamento de Cookies de terceiros para solicitudes sen HTTPS (co atributo SameSite=None, as Cookies só se poden configurar en modo Seguro). Ademais, está previsto realizar traballos de protección contra o uso de identificación oculta (“pegada dixital do navegador”), incluíndo métodos de xeración de identificadores baseados en datos indirectos, como , lista de tipos MIME admitidos, opcións específicas de cabeceira ( и ), análise do establecido , dispoñibilidade de certas API web específicas para tarxetas de vídeo renderizado usando WebGL e Canvas, con CSS, análise das características de traballar con и .
Tamén en Chrome protección contra o abuso asociado coa dificultade para volver á páxina orixinal despois de moverse a outro sitio. Estamos a falar da práctica de abarrotar o historial de navegación cunha serie de redireccionamentos automáticos ou de engadir artificialmente entradas ficticias ao historial de navegación (a través de pushState), polo que o usuario non pode utilizar o botón "Atrás" para volver ao historial de navegación. páxina orixinal tras unha transición accidental ou un reenvío forzado ao sitio de estafadores ou saboteadores. Para protexerse contra tales manipulacións, Chrome no controlador do botón Atrás omitirá os rexistros asociados ao reenvío automático e á manipulación do historial de navegación, deixando só as páxinas abertas debido a accións explícitas do usuario.
Fonte: opennet.ru