Google imminenti modifiche a Chrome volte a migliorare la privacy. La prima parte delle modifiche riguarda la gestione dei Cookie e il supporto per l'attributo SameSite. A partire dal rilascio di Chrome 76, previsto per luglio, non ci sarà il flag “same-site-by-default-cookies”, che, in assenza dell'attributo SameSite nell'header Set-Cookie, imposterà per default il valore “SameSite=Lax”, limitando l'invio di Cookie per inserimenti da siti di terze parti (ma i siti potranno comunque annullare la limitazione impostando esplicitamente il valore SameSite=None durante l'impostazione del Cookie).
Attributo permette di definire le situazioni in cui è consentito inviare un Cookie quando si riceve una richiesta da un sito terzo. Attualmente il browser invia un Cookie ad ogni richiesta ad un sito per il quale è stato impostato un Cookie, anche se inizialmente viene aperto un altro sito, e la richiesta viene effettuata indirettamente caricando un'immagine o tramite un iframe. Le reti pubblicitarie utilizzano questa funzionalità per tracciare i movimenti degli utenti tra i siti e
aggressori per l'organizzazione (quando viene aperta una risorsa controllata dall'aggressore, una richiesta viene inviata segretamente dalle sue pagine a un altro sito su cui l'utente corrente è autenticato e il browser dell'utente imposta cookie di sessione per tale richiesta). D'altra parte, la possibilità di inviare cookie a siti di terze parti viene utilizzata per inserire widget nelle pagine, ad esempio, per l'integrazione con YuoTube o Facebook.
Utilizzando l'attributo SameSit, puoi controllare il comportamento dei cookie e consentire l'invio di cookie solo in risposta a richieste avviate dal sito da cui il cookie è stato originariamente ricevuto. SameSite può assumere tre valori "Strict", "Lax" e "None". Nella modalità 'Ristretta', i Cookie non vengono inviati per alcun tipo di richiesta cross-site, compresi tutti i collegamenti in entrata da siti esterni. Nella modalità 'Lax', vengono applicate restrizioni più rilassate e la trasmissione dei cookie viene bloccata solo per richieste secondarie tra siti, come una richiesta di immagine o il caricamento di contenuti tramite un iframe. La differenza tra “Strict” e “Lax” sta nel bloccare i cookie quando si segue un collegamento.
Tra le altre modifiche imminenti, è prevista anche l'applicazione di una restrizione rigorosa che vieta l'elaborazione di cookie di terze parti per richieste senza HTTPS (con l'attributo SameSite=None i cookie possono essere impostati solo in modalità sicura). Inoltre, si prevede di svolgere attività volte a proteggere dall'uso dell'identificazione nascosta ("browser fingering"), compresi metodi per generare identificatori basati su dati indiretti, come ad esempio , elenco dei tipi MIME supportati, opzioni specifiche dell'intestazione ( и ), analisi di stabilito , disponibilità di determinate API Web specifiche per le schede video rendering utilizzando WebGL e Canvas, con CSS, analisi delle caratteristiche di lavorare con и .
Anche in Cromo protezione contro gli abusi associati alla difficoltà di tornare alla pagina originale dopo lo spostamento su un altro sito. Si tratta della pratica di ingombrare la cronologia di navigazione con una serie di reindirizzamenti automatici o di aggiungere artificialmente voci fittizie alla cronologia di navigazione (tramite pushState), per cui l'utente non può utilizzare il pulsante “Indietro” per tornare alla pagina precedente. pagina originale dopo una transizione accidentale o un inoltro forzato al sito di truffatori o sabotatori. Per proteggersi da tali manipolazioni, Chrome nel gestore del pulsante Indietro salterà i record associati all'inoltro automatico e alla manipolazione della cronologia di navigazione, lasciando solo le pagine aperte a causa di azioni esplicite dell'utente.
Fonte: opennet.ru