Google perubahan mendatang pada Chrome yang bertujuan untuk meningkatkan privasi. Bagian pertama dari perubahan ini menyangkut penanganan Cookie dan dukungan untuk atribut SameSite. Dimulai dengan rilis Chrome 76, diharapkan pada bulan Juli, akan ada tanda βsame-site-by-default-cookiesβ, yang, jika tidak ada atribut SameSite di header Set-Cookie, secara default akan menetapkan nilai βSameSite=Laxβ, membatasi pengiriman Cookie untuk penyisipan dari situs pihak ketiga (tetapi situs masih dapat membatalkan pembatasan dengan menetapkan nilai SameSite=None secara eksplisit saat mengatur Cookie).
Atribut memungkinkan Anda menentukan situasi di mana pengiriman Cookie diperbolehkan ketika permintaan diterima dari situs pihak ketiga. Saat ini, browser mengirimkan Cookie untuk permintaan apa pun ke situs yang Cookie-nya telah ditetapkan, meskipun situs lain pertama kali dibuka, dan permintaan tersebut dibuat secara tidak langsung dengan memuat gambar atau melalui iframe. Jaringan periklanan menggunakan fitur ini untuk melacak pergerakan pengguna antar situs, dan
penyerang bagi organisasi (ketika sumber daya yang dikendalikan oleh penyerang dibuka, permintaan diam-diam dikirim dari halamannya ke situs lain tempat pengguna saat ini diautentikasi, dan browser pengguna menetapkan Cookie sesi untuk permintaan tersebut). Di sisi lain, kemampuan mengirim Cookie ke situs pihak ketiga digunakan untuk memasukkan widget ke dalam halaman, misalnya untuk integrasi dengan YuoTube atau Facebook.
Dengan menggunakan atribut SameSit, Anda dapat mengontrol perilaku Cookie dan mengizinkan Cookie dikirim hanya sebagai respons terhadap permintaan yang dimulai dari situs tempat Cookie awalnya diterima. SameSite dapat mengambil tiga nilai "Ketat", "Lax" dan "Tidak Ada". Dalam mode 'Ketat', Cookie tidak dikirim untuk permintaan lintas situs apa pun, termasuk semua tautan masuk dari situs eksternal. Dalam mode 'Lax', pembatasan yang lebih longgar diterapkan dan transmisi Cookie diblokir hanya untuk sub-permintaan lintas situs, seperti permintaan gambar atau memuat konten melalui iframe. Perbedaan antara βKetatβ dan βLaxβ terletak pada pemblokiran Cookie saat mengikuti tautan.
Di antara perubahan mendatang lainnya, direncanakan juga untuk menerapkan pembatasan ketat yang melarang pemrosesan Cookie pihak ketiga untuk permintaan tanpa HTTPS (dengan atribut SameSite=None, Cookie hanya dapat diatur dalam mode Aman). Selain itu, direncanakan untuk melakukan pekerjaan untuk melindungi terhadap penggunaan identifikasi tersembunyi (βsidik jari browserβ), termasuk metode untuk menghasilkan pengidentifikasi berdasarkan data tidak langsung, seperti , daftar jenis MIME yang didukung, opsi khusus tajuk ( ΠΈ ), analisis didirikan , ketersediaan API Web tertentu khusus untuk kartu video rendering menggunakan WebGL dan Canvas, dengan CSS, analisis fitur bekerja dengan ΠΈ .
Juga di Chrome perlindungan terhadap penyalahgunaan terkait dengan kesulitan kembali ke halaman asli setelah berpindah ke situs lain. Kita berbicara tentang praktik mengacaukan riwayat navigasi dengan serangkaian pengalihan otomatis atau menambahkan entri fiktif secara artifisial ke riwayat penelusuran (melalui pushState), akibatnya pengguna tidak dapat menggunakan tombol "Kembali" untuk kembali ke halaman asli setelah transisi yang tidak disengaja atau penerusan paksa ke situs penipu atau penyabot . Untuk melindungi dari manipulasi tersebut, Chrome di pengendali tombol Kembali akan melewatkan catatan yang terkait dengan penerusan otomatis dan manipulasi riwayat penelusuran, hanya menyisakan halaman yang dibuka karena tindakan pengguna yang eksplisit.
Sumber: opennet.ru