ל-Chrome תהיה כעת הגנה מפני קובצי Cookie של צד שלישי וזיהוי נסתר

גוגל מוצג שינויים קרובים לכרום שמטרתם לשפר את הפרטיות. החלק הראשון של השינויים נוגע לטיפול בקובצי Cookie ותמיכה בתכונה SameSite. החל מהשחרור של Chrome 76, הצפוי ביולי, יהיו מוּפעָל הדגל "same-site-by-default-cookies", שבהיעדר התכונה SameSite בכותרת Set-Cookie, כברירת מחדל יגדיר את הערך "SameSite=Lax", תוך הגבלת שליחת קובצי Cookie להוספה מ- אתרי צד שלישי (אך אתרים עדיין יוכלו לבטל את ההגבלה על ידי הגדרה מפורשת של הערך SameSite=None בעת הגדרת ה-Cookie).

תכונה SameSite מאפשר לך להגדיר מצבים שבהם מותר לשלוח Cookie כאשר מתקבלת בקשה מאתר צד שלישי. נכון להיום, הדפדפן שולח Cookie לכל בקשה לאתר שעבורו הוגדר Cookie, גם אם נפתח אתר אחר בתחילה, והבקשה נעשית בעקיפין על ידי טעינת תמונה או דרך iframe. רשתות פרסום משתמשות בתכונה זו כדי לעקוב אחר תנועות משתמשים בין אתרים, וכן
תוקפים עבור הארגון התקפות CSRF (כאשר נפתח משאב שנשלט על ידי התוקף, בקשה נשלחת בסתר מהדפים שלו לאתר אחר בו המשתמש הנוכחי מאומת, והדפדפן של המשתמש מגדיר קובצי Cookie עבור בקשה כזו). מצד שני, היכולת לשלוח Cookies לאתרי צד שלישי משמשת להכנסת ווידג'טים לדפים, למשל, לצורך אינטגרציה עם YuoTube או Facebook.

באמצעות התכונה SameSit, אתה יכול לשלוט בהתנהגות העוגיות ולאפשר שליחת עוגיות רק בתגובה לבקשות שיוזמו מהאתר ממנו התקבלה ה-Cookie במקור. SameSite יכול לקחת שלושה ערכים "Strict", "Lax" ו-"None". במצב 'קפדני', קובצי Cookie לא נשלחים עבור כל סוג של בקשות חוצות אתרים, כולל כל הקישורים הנכנסים מאתרים חיצוניים. במצב 'Lax', הגבלות רגועות יותר מוחלות והעברת קובצי Cookie נחסמת רק עבור בקשות משנה חוצות אתרים, כגון בקשת תמונה או טעינת תוכן באמצעות iframe. ההבדל בין "קפדן" ל"לאקס" מסתכם בחסימת קובצי Cookie כאשר עוקבים אחר קישור.

בין שאר השינויים הקרובים, מתוכננת גם להחיל הגבלה קפדנית האוסרת על עיבוד קובצי Cookie של צד שלישי עבור בקשות ללא HTTPS (עם התכונה SameSite=None, ניתן להגדיר קובצי Cookie רק במצב מאובטח). בנוסף, מתוכננת לבצע עבודות להגנה מפני שימוש בזיהוי נסתר ("טביעת אצבע בדפדפן"), לרבות שיטות להפקת מזהים על בסיס נתונים עקיפים, כגון רזולוציית מסך, רשימה של סוגי MIME נתמכים, פרמטרים ספציפיים בכותרות (HTTP / 2 и HTTPS), ניתוח של מותקן תוספים ופונטים, זמינות של ממשקי API מסוימים באינטרנט, ספציפיים לכרטיסי מסך תכונות עיבוד באמצעות WebGL ו-Canvas, מָנִיפּוּלָצִיָה עם CSS, ניתוח תכונות של עבודה עם עכבר и מקלדת.

גם בכרום הוא יוסף הגנה מפני ניצול לרעה הקשור לקושי לחזור לדף המקורי לאחר מעבר לאתר אחר. אנחנו מדברים על הפרקטיקה של העמסת היסטוריית הניווט עם סדרה של הפניות אוטומטיות או הוספת ערכים פיקטיביים להיסטוריית הגלישה באופן מלאכותי (באמצעות pushState), כתוצאה מכך המשתמש לא יכול להשתמש בלחצן "הקודם" כדי לחזור ל- דף מקורי לאחר מעבר מקרי או העברה כפויה לאתר של רמאים או חבלנים. כדי להגן מפני מניפולציות כאלה, Chrome במטפל לחצן 'הקודם' ידלג על רשומות הקשורות להעברה אוטומטית ולמניפולציה של היסטוריית הגלישה, וישאיר רק דפים שנפתחים עקב פעולות משתמש מפורשות.

מקור: OpenNet.ru