Google a Chrome közelgő módosításai, amelyek célja az adatvédelem javítása. A változtatások első része a cookie-k kezelésére és a SameSite attribútum támogatására vonatkozik. A Chrome 76 júliusban várható megjelenésétől kezdve lesz a „same-site-by-default-cookies” jelző, amely a SameSite attribútum hiányában a Set-Cookie fejlécben alapértelmezés szerint a „SameSite=Lax” értéket állítja be, korlátozva a cookie-k küldését a harmadik felek webhelyei (de a webhelyek továbbra is törölhetik a korlátozást, ha a Cookie beállításakor kifejezetten beállítják a SameSite=None értéket).
Tulajdonság lehetővé teszi azoknak a helyzeteknek a meghatározását, amelyekben megengedett a Cookie-k küldése, amikor egy harmadik féltől származó kérés érkezik. Jelenleg a böngésző Cookie-t küld minden olyan webhelyre irányuló kérésre, amelyhez Cookie-t állítottak be, még akkor is, ha kezdetben egy másik webhelyet nyitnak meg, és a kérés közvetetten, kép betöltésével vagy iframe-en keresztül történik. A hirdetési hálózatok ezt a funkciót a felhasználók webhelyek közötti mozgásának nyomon követésére használják, és
támadók a szervezet számára (a támadó által felügyelt erőforrás megnyitásakor egy kérés titokban elküldésre kerül az oldalairól egy másik webhelyre, amelyen az aktuális felhasználó hitelesítve van, és a felhasználó böngészője munkamenet-cookie-kat állít be az ilyen kéréshez). Másrészt a Cookie-k harmadik felek webhelyei számára történő küldésének lehetőségét arra használják, hogy widgeteket helyezzenek be az oldalakba, például a YuoTube-val vagy a Facebook-kal való integráció érdekében.
A SameSit attribútum használatával szabályozhatja a cookie-k viselkedését, és engedélyezheti, hogy a cookie-k csak azon webhelyről kezdeményezett kérésekre válaszul legyenek elküldve, ahonnan a cookie eredetileg érkezett. A SameSite három értéket vehet fel: "Strict", "Lax" és "None". A „Szigorú” módban a rendszer nem küld cookie-kat a webhelyek közötti kérésekhez, beleértve a külső webhelyekről érkező összes hivatkozást sem. A „Lax” módban enyhébb korlátozások érvényesek, és a cookie-k átvitele csak a webhelyek közötti alkérelmek esetén van letiltva, például képkérelem vagy tartalom betöltése iframe-en keresztül. A „Szigorú” és a „Lax” közötti különbség a Cookie-k letiltása egy hivatkozás követésekor.
Egyebek mellett a tervek szerint szigorú korlátozást is alkalmaznak, amely megtiltja a harmadik féltől származó cookie-k feldolgozását a HTTPS nélküli kérések esetén (a SameSite=None attribútummal a Cookie-k csak Biztonságos módban állíthatók be). Ezen túlmenően a rejtett azonosítás („böngésző ujjlenyomat-vétele”) elleni védekezési munkálatok elvégzését tervezik, ideértve a közvetett adatokon alapuló azonosítók generálására szolgáló módszereket is, mint pl. , támogatott MIME típusok listája, fejlécspecifikus beállítások ( и ), elemzése megállapított , a videokártyákra jellemző bizonyos webes API-k elérhetősége renderelés WebGL és Canvas használatával, CSS-szel, a munka jellemzőinek elemzése и .
Chrome-ban is védelem az eredeti oldalra való visszatérési nehézségekkel járó visszaélésekkel szemben egy másik webhelyre költözés után. Arról a gyakorlatról beszélünk, hogy a navigációs előzményeket egy sor automatikus átirányítással telezsúfolják, vagy mesterségesen (pushState-en keresztül) fiktív bejegyzéseket adnak a böngészési előzményekhez, aminek következtében a felhasználó nem tudja a „Vissza” gombbal visszatérni a böngészési előzményekhez. az eredeti oldal egy véletlen átállás vagy a csalók vagy szabotőrök oldalára kényszerített továbbítás után. Az ilyen manipulációk elleni védelem érdekében a Chrome a Vissza gombkezelőben kihagyja az automatikus továbbításhoz és a böngészési előzmények kezeléséhez kapcsolódó rekordokat, így csak azok az oldalak maradnak meg, amelyek nyílt felhasználói műveletek miatt nyílnak meg.
Forrás: opennet.ru