グーグル プライバシーの向上を目的とした Chrome の今後の変更。 変更の最初の部分は、Cookie の処理と SameSite 属性のサポートに関するものです。 76 月に予定されている Chrome XNUMX のリリースを皮切りに、 「same-site-by-default-cookies」フラグ。Set-Cookie ヘッダーに SameSite 属性がない場合、デフォルトで値「SameSite=Lax」が設定され、からの挿入に対する Cookie の送信が制限されます。サードパーティのサイト (ただし、Cookie を設定するときに値 SameSite=None を明示的に設定することで、サイトは制限をキャンセルできます)。
属性 サードパーティのサイトからリクエストを受信したときに Cookie の送信が許可される状況を定義できます。 現在、ブラウザは、Cookie が設定されているサイトへのリクエストに対して、最初に別のサイトを開いた場合でも Cookie を送信し、そのリクエストは画像の読み込みや iframe を通じて間接的に行われます。 広告ネットワークはこの機能を使用して、サイト間のユーザーの移動を追跡します。
組織への攻撃者 (攻撃者によって制御されているリソースが開かれると、そのページから現在のユーザーが認証されている別のサイトにリクエストが密かに送信され、ユーザーのブラウザはそのようなリクエストに対してセッション Cookie を設定します)。 一方、サードパーティのサイトに Cookie を送信する機能は、YuoTube や Facebook との統合など、ページにウィジェットを挿入するために使用されます。
SameSit 属性を使用すると、Cookie の動作を制御し、Cookie を最初に受信したサイトから開始されたリクエストにのみ Cookie を送信できるようにすることができます。 SameSite は「Strict」、「Lax」、「None」の XNUMX つの値を取ることができます。 「厳密」モードでは、外部サイトからのすべての受信リンクを含む、いかなる種類のクロスサイト要求に対しても Cookie は送信されません。 「Lax」モードでは、より緩やかな制限が適用され、画像リクエストや iframe を介したコンテンツのロードなど、サイト間のサブリクエストに対してのみ Cookie 送信がブロックされます。 「厳格」と「緩い」の違いは、リンクをたどる際に Cookie をブロックするかどうかにあります。
今後の変更の中には、HTTPS を使用しないリクエストに対するサードパーティ Cookie の処理を禁止する厳しい制限も適用される予定です (SameSite=None 属性を使用すると、Cookie はセキュア モードでのみ設定できます)。 さらに、次のような間接データに基づいて識別子を生成する方法を含む、隠された識別情報 (「ブラウザー フィンガープリンティング」) の使用を防止するための作業を実行することが計画されています。 、サポートされている MIME タイプのリスト、ヘッダー固有のオプション ( и )、確立された分析 、ビデオ カードに固有の特定の Web API の可用性 WebGL と Canvas を使用したレンダリング、 CSS を使用した作業の機能の分析 и .
Chromeでも 別のサイトに移動した後に元のページに戻るのが困難な場合に伴う悪用からの保護。 ここで話しているのは、一連の自動リダイレクトでナビゲーション履歴を乱雑にしたり、(pushState 経由で)閲覧履歴に架空のエントリを人為的に追加したりする行為です。その結果、ユーザーは「戻る」ボタンを使用して元のページに戻ることができなくなります。誤って遷移したり、詐欺師や妨害者のサイトに強制的に転送された後の元のページ。 このような操作から保護するために、Chrome の [戻る] ボタン ハンドラーでは、閲覧履歴の自動転送と操作に関連付けられたレコードをスキップし、明示的なユーザー アクションによって開かれたページのみを残します。
出所: オープンネット.ru