Google nadolazeće promjene u Chromeu usmjerene na poboljšanje privatnosti. Prvi dio promjena odnosi se na rukovanje kolačićima i podršku za atribut SameSite. Počevši od izdanja Chromea 76, koje se očekuje u srpnju, bit će ih oznaku "same-site-by-default-cookies", koja će, u nedostatku atributa SameSite u zaglavlju Set-Cookie, prema zadanim postavkama postaviti vrijednost "SameSite=Lax", ograničavajući slanje kolačića za umetanje s stranice trećih strana (ali stranice će i dalje moći poništiti ograničenje eksplicitnim postavljanjem vrijednosti SameSite=None prilikom postavljanja kolačića).
Atribut omogućuje definiranje situacija u kojima je dopušteno slanje kolačića kada se primi zahtjev sa stranice treće strane. Trenutačno, preglednik šalje kolačić na bilo koji zahtjev web-mjestu za koje je postavljen kolačić, čak i ako je neko drugo mjesto inicijalno otvoreno, a zahtjev se podnosi neizravno učitavanjem slike ili putem iframea. Oglašavačke mreže koriste ovu značajku za praćenje kretanja korisnika između stranica i
napadači na organizaciju (kada se otvori resurs koji kontrolira napadač, tajno se šalje zahtjev s njegovih stranica na drugu stranicu na kojoj je trenutačni korisnik autentificiran, a preglednik korisnika postavlja kolačiće sesije za takav zahtjev). S druge strane, mogućnost slanja kolačića na stranice trećih strana koristi se za umetanje widgeta na stranice, na primjer, za integraciju s YuoTubeom ili Facebookom.
Pomoću atributa SameSit možete kontrolirati ponašanje kolačića i dopustiti slanje kolačića samo kao odgovor na zahtjeve pokrenute sa stranice s koje je kolačić prvobitno primljen. SameSite može uzeti tri vrijednosti "Strict", "Lax" i "None". U 'Strogom' načinu rada kolačići se ne šalju za bilo kakve zahtjeve između stranica, uključujući sve dolazne veze s vanjskih stranica. U 'Lax' načinu rada primjenjuju se blaža ograničenja i prijenos kolačića blokiran je samo za podzahtjeve između stranica, kao što je zahtjev za slikom ili učitavanje sadržaja putem iframea. Razlika između "Strogog" i "Lakog" svodi se na blokiranje kolačića prilikom praćenja poveznice.
Između ostalih nadolazećih promjena, također se planira primijeniti strogo ograničenje koje zabranjuje obradu kolačića trećih strana za zahtjeve bez HTTPS-a (s atributom SameSite=None, kolačići se mogu postaviti samo u sigurnom načinu rada). Osim toga, planira se provesti rad na zaštiti od korištenja skrivene identifikacije („otisak prsta preglednika”), uključujući metode za generiranje identifikatora na temelju neizravnih podataka, kao što su , popis podržanih tipova MIME, specifični parametri u zaglavljima ( и ), analiza instaliranih , dostupnost određenih Web API-ja, specifičnih za video kartice iscrtavanje pomoću WebGL-a i Canvasa, s CSS-om, analiza značajki rada s и .
Također u Chromeu zaštita od zlouporabe povezane s poteškoćama pri povratku na izvornu stranicu nakon prelaska na drugo mjesto. Riječ je o praksi zatrpavanja povijesti navigacije nizom automatskih preusmjeravanja ili umjetnog dodavanja fiktivnih unosa u povijest pregledavanja (putem pushState-a), zbog čega korisnik ne može upotrijebiti gumb “Natrag” za povratak na izvorna stranica nakon slučajnog prijelaza ili prisilnog prosljeđivanja na mjesto prevaranata ili sabotera. Kako bi se zaštitio od takvih manipulacija, Chrome u rukovatelju gumbom Natrag preskočit će zapise povezane s automatskim prosljeđivanjem i manipulacijom povijesti pregledavanja, ostavljajući samo stranice koje su otvorene zbog eksplicitnih radnji korisnika.
Izvor: opennet.ru