Google gaidāmās izmaiņas pārlūkā Chrome, lai uzlabotu konfidencialitāti. Pirmā izmaiņu daļa attiecas uz sīkfailu apstrādi un atribūta SameSite atbalstu. Sākot ar Chrome 76 izlaišanu, kas gaidāma jūlijā, būs karodziņš “same-site-by-default-cookies”, kas, ja Set-Cookie galvenē nav SameSite atribūta, pēc noklusējuma iestatīs vērtību “SameSite=Lax”, ierobežojot sīkfailu sūtīšanu ievietošanai no trešo pušu vietnes (taču vietnes joprojām varēs atcelt ierobežojumu, sīkfaila iestatīšanas laikā skaidri iestatot vērtību SameSite=None).
Atribūts ļauj definēt situācijas, kurās ir atļauts nosūtīt sīkfailu, kad tiek saņemts pieprasījums no trešās puses vietnes. Pašlaik pārlūkprogramma nosūta sīkfailu uz jebkuru pieprasījumu vietnei, kurai ir iestatīts sīkfails, pat ja sākotnēji tiek atvērta cita vietne, un pieprasījums tiek veikts netieši, ielādējot attēlu vai izmantojot iframe. Reklamēšanas tīkli izmanto šo funkciju, lai izsekotu lietotāju kustībai starp vietnēm un
uzbrucēji organizācijai (kad tiek atvērts uzbrucēja kontrolēts resurss, pieprasījums tiek slepeni nosūtīts no tā lapām uz citu vietni, kurā pašreizējais lietotājs ir autentificēts, un lietotāja pārlūkprogramma iestata sesijas sīkfailus šādam pieprasījumam). No otras puses, iespēja nosūtīt sīkfailus trešo pušu vietnēm tiek izmantota, lai lapās ievietotu logrīkus, piemēram, integrācijai ar YuoTube vai Facebook.
Izmantojot atribūtu SameSit, jūs varat kontrolēt sīkfailu darbību un atļaut sīkfailu sūtīšanu tikai, atbildot uz pieprasījumiem, kas ierosināti no vietnes, no kuras sākotnēji tika saņemts sīkfails. SameSite var izmantot trīs vērtības "Strict", "Lax" un "None". Stingrā režīmā sīkfaili netiek sūtīti nekāda veida starpvietņu pieprasījumiem, tostarp visām ienākošajām saitēm no ārējām vietnēm. Režīmā “Lax” tiek piemēroti atviegloti ierobežojumi, un sīkfailu pārraide tiek bloķēta tikai starpvietņu apakšpieprasījumiem, piemēram, attēla pieprasījumam vai satura ielādei, izmantojot iframe. Atšķirība starp “Stingri” un “Lax” ir saistīta ar sīkfailu bloķēšanu, sekojot saitei.
Citu gaidāmo izmaiņu starpā paredzēts arī piemērot stingru ierobežojumu, kas aizliedz apstrādāt trešo pušu sīkdatnes pieprasījumiem bez HTTPS (ar atribūtu SameSite=None, Sīkdatnes var iestatīt tikai drošajā režīmā). Papildus plānots veikt darbu aizsardzībai pret slēptās identifikācijas (“pārlūkprogrammas pirkstu nospiedumu)” izmantošanu, tai skaitā metodes identifikatoru ģenerēšanai, pamatojoties uz netiešiem datiem, piemēram, , atbalstīto MIME veidu saraksts, konkrēti parametri galvenēs ( и ), uzstādīto analīze , noteiktu tīmekļa API pieejamība, kas raksturīga videokartēm renderēšana, izmantojot WebGL un Canvas, ar CSS, darba iezīmju analīze и .
Arī pārlūkā Chrome aizsardzība pret ļaunprātīgu izmantošanu, kas saistīta ar grūtībām atgriezties sākotnējā lapā pēc pārejas uz citu vietni. Mēs runājam par praksi pārblīvēt navigācijas vēsturi ar virkni automātisku novirzīšanu vai mākslīgi pievienot fiktīvus ierakstus pārlūkošanas vēsturei (izmantojot pushState), kā rezultātā lietotājs nevar izmantot pogu “Atpakaļ”, lai atgrieztos sākotnējā lapa pēc nejaušas pārvietošanas vai piespiedu pārsūtīšanas uz krāpnieku vai diversantu vietni . Lai aizsargātu pret šādām manipulācijām, pārlūks Chrome pogas Atpakaļ apdarinātājā izlaidīs ierakstus, kas saistīti ar automātisku pārsūtīšanu un pārlūkošanas vēstures manipulācijām, atstājot tikai tās lapas, kas tiek atvērtas precīzas lietotāja darbības dēļ.
Avots: opennet.ru