Google būsimi „Chrome“ pakeitimai, kuriais siekiama pagerinti privatumą. Pirmoji pakeitimų dalis yra susijusi su slapukų tvarkymu ir atributo „SameSite“ palaikymu. Pradedant nuo „Chrome 76“ išleidimo, kurio tikimasi liepos mėnesį, bus vėliavėlė „same-site-by-default-cookies“, kuri, jei antraštėje „Set-Cookie“ nėra atributo „SameSite“, pagal numatytuosius nustatymus nustatys reikšmę „SameSite=Lax“, ribodama slapukų siuntimą įterpimams iš trečiųjų šalių svetainės (tačiau svetainės vis tiek galės atšaukti apribojimą, nustatydamos slapuką aiškiai nustatydamos reikšmę SameSite=None).
Atributas leidžia apibrėžti situacijas, kai leidžiama siųsti slapuką, kai gaunama užklausa iš trečiosios šalies svetainės. Šiuo metu naršyklė siunčia slapuką į bet kurią užklausą svetainei, kuriai buvo nustatytas slapukas, net jei iš pradžių atidaroma kita svetainė, o užklausa pateikiama netiesiogiai įkeliant vaizdą arba per iframe. Reklamos tinklai naudoja šią funkciją, kad stebėtų vartotojų judėjimą tarp svetainių ir
organizacijos užpuolikai (kai atidaromas užpuoliko valdomas išteklius, užklausa iš jo puslapių slapta siunčiama į kitą svetainę, kurioje yra autentifikuotas dabartinis vartotojas, o vartotojo naršyklė tokiai užklausai nustato sesijos slapukus). Kita vertus, galimybė siųsti slapukus trečiųjų šalių svetainėms naudojama įterpiant valdiklius į puslapius, pavyzdžiui, integruojant su „YuoTube“ ar „Facebook“.
Naudodami atributą SameSit, galite valdyti slapukų elgesį ir leisti siųsti slapukus tik atsakant į užklausas, inicijuotas iš svetainės, iš kurios slapukas iš pradžių buvo gautas. „SameSite“ gali turėti tris reikšmes „Strict“, „Lax“ ir „None“. „Griežtu“ režimu slapukai nesiunčiami jokioms kelių svetainių užklausoms, įskaitant visas gaunamas nuorodas iš išorinių svetainių. „Lax“ režimu taikomi švelnesni apribojimai, o slapukų perdavimas blokuojamas tik kelių svetainių papildomoms užklausoms, pvz., vaizdo užklausai arba turinio įkėlimui per „iframe“. Skirtumas tarp „Griežto“ ir „Lax“ yra susijęs su slapukų blokavimu sekant nuorodą.
Be kitų būsimų pakeitimų, taip pat planuojama taikyti griežtą apribojimą, kuris draudžia apdoroti trečiųjų šalių slapukus užklausoms be HTTPS (su atributu SameSite=None, slapukus galima nustatyti tik saugiu režimu). Be to, planuojama atlikti apsaugą nuo paslėpto identifikavimo („naršyklės pirštų atspaudų“) naudojimo, įskaitant identifikatorių generavimo būdus remiantis netiesioginiais duomenimis, pvz. , palaikomų MIME tipų sąrašas, konkretūs parametrai antraštėse ( и ), įdiegtų analizė , tam tikrų žiniatinklio API, skirtų vaizdo plokštėms, prieinamumas atvaizdavimas naudojant WebGL ir Canvas, su CSS, darbo su ypatybių analizė и .
Taip pat „Chrome“. apsauga nuo piktnaudžiavimo, susijusio su sunkumais sugrįžus į pradinį puslapį persikėlus į kitą svetainę. Kalbame apie naršymo istorijos užgriozdinimą automatiniais peradresavimais arba dirbtinai įtraukiant fiktyvius įrašus į naršymo istoriją (per pushState), dėl ko vartotojas negali naudoti mygtuko „Atgal“, kad sugrįžtų į pradinis puslapis po atsitiktinio perkėlimo arba priverstinio persiuntimo į sukčių ar diversantų svetainę . Siekdama apsisaugoti nuo tokių manipuliacijų, „Chrome“ mygtuko „Atgal“ tvarkyklėje praleis įrašus, susijusius su automatiniu persiuntimu ir naršymo istorijos manipuliavimu, palikdama tik tuos puslapius, kurie atidaromi dėl aiškių naudotojo veiksmų.
Šaltinis: opennet.ru