Google perubahan akan datang pada Chrome bertujuan untuk meningkatkan privasi. Bahagian pertama perubahan berkenaan dengan pengendalian dan sokongan Kuki untuk atribut SameSite. Bermula dengan keluaran Chrome 76, dijangka pada bulan Julai, akan ada bendera "same-site-by-default-cookies", yang, jika tiada atribut SameSite dalam pengepala Set-Cookie, akan secara lalai menetapkan nilai "SameSite=Lax", mengehadkan penghantaran Kuki untuk sisipan daripada tapak pihak ketiga (tetapi tapak masih boleh membatalkan sekatan dengan menetapkan nilai secara eksplisit SameSite=Tiada apabila menetapkan Kuki).
Atribut membolehkan anda menentukan situasi di mana ia dibenarkan untuk menghantar Kuki apabila permintaan diterima daripada tapak pihak ketiga. Pada masa ini, penyemak imbas menghantar Kuki kepada sebarang permintaan ke tapak yang Kuki telah ditetapkan, walaupun tapak lain dibuka pada mulanya, dan permintaan itu dibuat secara tidak langsung dengan memuatkan imej atau melalui iframe. Rangkaian pengiklanan menggunakan ciri ini untuk menjejaki pergerakan pengguna antara tapak dan
penyerang untuk organisasi (apabila sumber yang dikawal oleh penyerang dibuka, permintaan dihantar secara rahsia dari halamannya ke tapak lain di mana pengguna semasa disahkan, dan penyemak imbas pengguna menetapkan sesi Kuki untuk permintaan sedemikian). Sebaliknya, keupayaan untuk menghantar Kuki ke tapak pihak ketiga digunakan untuk memasukkan widget ke dalam halaman, contohnya, untuk penyepaduan dengan YuoTube atau Facebook.
Dengan menggunakan atribut SameSit, anda boleh mengawal tingkah laku Kuki dan membenarkan Kuki dihantar hanya sebagai tindak balas kepada permintaan yang dimulakan daripada tapak tempat Kuki diterima pada asalnya. SameSite boleh mengambil tiga nilai "Strict", "Lax" dan "None". Dalam mod 'Ketat', Kuki tidak dihantar untuk sebarang jenis permintaan merentas tapak, termasuk semua pautan masuk dari tapak luar. Dalam mod 'Lax', sekatan yang lebih santai digunakan dan penghantaran Kuki disekat hanya untuk sub-permintaan merentas tapak, seperti permintaan imej atau memuatkan kandungan melalui iframe. Perbezaan antara "Ketat" dan "Lax" terletak pada menyekat Kuki apabila mengikuti pautan.
Antara perubahan lain yang akan datang, ia juga merancang untuk menggunakan sekatan ketat yang melarang pemprosesan Kuki pihak ketiga untuk permintaan tanpa HTTPS (dengan atribut SameSite=None, Kuki hanya boleh ditetapkan dalam mod Selamat). Di samping itu, ia dirancang untuk menjalankan kerja untuk melindungi daripada penggunaan pengenalan tersembunyi ("cap jari pelayar"), termasuk kaedah untuk menjana pengecam berdasarkan data tidak langsung, seperti , senarai jenis MIME yang disokong, pilihan khusus pengepala ( ΠΈ ), analisis ditubuhkan , ketersediaan API Web tertentu khusus untuk kad video pemaparan menggunakan WebGL dan Kanvas, dengan CSS, analisis ciri bekerja dengan ΠΈ .
Juga dalam Chrome perlindungan terhadap penyalahgunaan yang berkaitan dengan kesukaran untuk kembali ke halaman asal selepas berpindah ke tapak lain. Kita bercakap tentang amalan mengacaukan sejarah navigasi dengan satu siri ubah hala automatik atau menambah entri rekaan secara buatan pada sejarah penyemakan imbas (melalui pushState), akibatnya pengguna tidak boleh menggunakan butang "Kembali" untuk kembali ke halaman asal selepas peralihan yang tidak disengajakan atau pemajuan paksa ke tapak penipu atau pensabotaj . Untuk melindungi daripada manipulasi sedemikian, Chrome dalam pengendali butang Kembali akan melangkau rekod yang berkaitan dengan pemajuan automatik dan manipulasi sejarah penyemakan imbas, meninggalkan hanya halaman yang dibuka disebabkan oleh tindakan pengguna yang jelas.
Sumber: opennet.ru