Google Chrome жүйесіндегі алдағы құпиялылық өзгерістері. Өзгерістердің бірінші бөлігі cookie файлдарын өңдеуге және SameSite төлсипатын қолдауға қатысты. Шілдеде күтілетін Chrome 76 шығарылымынан бастап, болады Set-Cookie тақырыбындағы SameSite төлсипаты болмаған жағдайда, үшіншіден кірістірулер үшін cookie файлдарын жіберуді шектейтін "SameSite=Lax" мәніне әдепкі бойынша келетін "бір сайт-әдепкі-cookies" жалаушасы -партиялық сайттар (бірақ сайттар Cookie файлын SameSite=None мәніне нақты орнату арқылы шектеуді алып тастай алады).
Атрибут үшінші тарап сайтынан сұрау алынған кезде cookie файлын жіберуге болатын жағдайларды анықтауға мүмкіндік береді. Қазіргі уақытта браузер cookie файлдары жинағы бар сайтқа кез келген сұрауға, тіпті басқа сайт бастапқыда ашылған болса да және сұрау кескінді жүктеу немесе iframe арқылы жанама түрде жасалса да жібереді. Жарнамалық желілер бұл мүмкіндікті сайттар арасындағы пайдаланушы қозғалысын бақылау үшін пайдаланады және
ұйымға шабуылдаушылар (шабуылдаушы басқаратын ресурс ашылғанда, сұрау оның беттерінен ағымдағы пайдаланушы аутентификацияланған басқа сайтқа жасырылады және пайдаланушының шолғышы мұндай сұрау үшін сеанс cookie файлдарын орнатады). Екінші жағынан, cookie файлдарын үшінші тарап сайттарына жіберу мүмкіндігі беттерге виджеттерді кірістіру үшін, мысалы, YuoTube немесе Facebook-пен біріктіру үшін пайдаланылады.
SameSit атрибуты арқылы cookie параметрінің әрекетін басқара аласыз және cookie файлдарын бастапқыда cookie файлын алған сайттан келетін сұрауларға жауап ретінде жіберуге рұқсат ете аласыз. SameSite үш мәнді қабылдай алады "Strict", "Lax" және "None". «Қатаң» режимде cookie файлдары сыртқы сайттардан келетін барлық сілтемелерді қоса, сайтаралық сұраудың кез келген түріне жіберілмейді. "Lax" режимінде жеңілдетілген шектеулер қолданылады және cookie файлдарын жіберу кескінді сұрау немесе iframe арқылы мазмұнды жүктеу сияқты сайттар аралық қосалқы сұраулар үшін ғана блокталады. «Қатаң» және «Лакс» арасындағы айырмашылық сілтемені басқан кезде cookie файлдарын блоктаумен байланысты.
Басқа алдағы өзгерістердің қатарында HTTPS емес сұраулар үшін үшінші тарап Cookie файлдарын өңдеуге тыйым салатын қатаң шектеуді қолдану жоспарлануда (SameSite=None атрибуты бар, Cookie файлдарын тек Қауіпсіз режимде орнатуға болады). Сонымен қатар, жасырын идентификацияны («браузер саусақ ізін алу») пайдаланудан қорғау бойынша жұмыс жоспарлануда, оның ішінде жанама деректер негізінде идентификаторларды генерациялау әдістері, мысалы: , қолдау көрсетілетін MIME түрлерінің тізімі, тақырыпқа қатысты опциялар ( и ), белгіленген талдау , бейне карталарға тән белгілі бір Web API интерфейстерінің болуы WebGL және Canvas көмегімен көрсету, CSS көмегімен, жұмыс істеу ерекшеліктерін талдау и .
Сондай-ақ Chrome-да басқа сайтқа ауысқаннан кейін бастапқы бетке оралу қиындықтарымен байланысты теріс пайдаланудан қорғау. Біз навигация тарихын автоматты қайта бағыттаулар сериясымен толтыру немесе шолу тарихына жалған жазбаларды жасанды түрде қосу тәжірибесі туралы айтып отырмыз (pushState арқылы), нәтижесінде пайдаланушы түпнұсқаға оралу үшін «Артқа» түймесін пайдалана алмайды. кездейсоқ көшу немесе алаяқтардың немесе зиянкестердің сайтына мәжбүрлеп жіберуден кейін бет . Мұндай айла-шарғылардан қорғау үшін Артқа түймешігінің өңдеушісіндегі Chrome автоматты түрде қайта бағыттауға және кіру тарихын өңдеуге қатысты жазбаларды өткізіп жіберіп, пайдаланушының нақты әрекеттерімен ашылатын беттерді ғана қалдырады.
Ақпарат көзі: opennet.ru