🥇Chrome ले अब तेस्रो-पक्ष कुकीहरू र लुकेको पहिचानको स्थानान्तरण विरुद्ध सुरक्षा पाउनेछ

गूगल प्रस्तुत गोपनीयता सुधार गर्ने उद्देश्यले Chrome मा आगामी परिवर्तनहरू। परिवर्तनहरूको पहिलो भागले कुकी ह्यान्डलिङ र SameSite विशेषताको लागि समर्थनलाई चिन्ता गर्दछ। क्रोम 76 को रिलीज संग शुरू, जुलाई मा अपेक्षित, त्यहाँ हुनेछ सक्रिय "समान-साइट-द्वारा-पूर्व-निर्धारित-कुकीहरू" झण्डा, जसले, सेट-कुकी हेडरमा समान साइट विशेषताको अनुपस्थितिमा, पूर्वनिर्धारित रूपमा मान "SameSite=Lax" सेट गर्नेछ, बाट सम्मिलितहरूको लागि कुकीहरू पठाउन सीमित गर्दछ। तेस्रो-पक्ष साइटहरू (तर साइटहरूले अझै पनि कुकी सेट गर्दा SameSite=None मान स्पष्ट रूपमा सेट गरेर प्रतिबन्ध रद्द गर्न सक्षम हुनेछन्)।

एट्रिब्युट समान साइट तेस्रो-पक्ष साइटबाट अनुरोध प्राप्त हुँदा कुकी पठाउन अनुमति दिइने अवस्थाहरूलाई परिभाषित गर्न अनुमति दिन्छ। हाल, ब्राउजरले कुकी सेट गरिएको साइटमा कुनै पनि अनुरोधमा कुकी पठाउँछ, अर्को साइट सुरुमा खोलिएको भए पनि, र अनुरोध अप्रत्यक्ष रूपमा छवि लोड गरेर वा iframe मार्फत गरिन्छ। विज्ञापन नेटवर्कहरूले साइटहरू बीच प्रयोगकर्ता आन्दोलनहरू ट्र्याक गर्न यो सुविधा प्रयोग गर्दछ, र
संगठनका लागि आक्रमणकारीहरू CSRF आक्रमणहरू (जब आक्रमणकर्ताद्वारा नियन्त्रित स्रोत खोलिन्छ, अनुरोध गोप्य रूपमा यसको पृष्ठहरूबाट अर्को साइटमा पठाइन्छ जसमा हालको प्रयोगकर्ता प्रमाणीकरण गरिएको छ, र प्रयोगकर्ताको ब्राउजरले यस्तो अनुरोधको लागि सत्र कुकीहरू सेट गर्दछ)। अर्कोतर्फ, तेस्रो-पक्ष साइटहरूमा कुकीहरू पठाउने क्षमता पृष्ठहरूमा विजेटहरू घुसाउन प्रयोग गरिन्छ, उदाहरणका लागि, YuoTube वा Facebook सँग एकीकरणको लागि।

SameSit विशेषता प्रयोग गरेर, तपाईंले कुकी व्यवहारलाई नियन्त्रण गर्न सक्नुहुन्छ र कुकीहरू मूल रूपमा प्राप्त भएको साइटबाट सुरु गरिएका अनुरोधहरूको जवाफमा मात्र कुकीहरू पठाउन अनुमति दिन सक्नुहुन्छ। SameSite ले तीन मानहरू लिन सक्छ "कडा", "लक्ष" र "कुनै पनि छैन"। 'कडा' मोडमा, कुकीहरू कुनै पनि प्रकारको क्रस-साइट अनुरोधहरूको लागि पठाइँदैन, बाह्य साइटहरूबाट आउने सबै लिङ्कहरू सहित। 'Lax' मोडमा, थप आरामदायी प्रतिबन्धहरू लागू हुन्छन् र कुकी प्रसारणलाई क्रस-साइट उप-अनुरोधहरू जस्तै छवि अनुरोध वा iframe मार्फत सामग्री लोड गर्नका लागि अवरुद्ध गरिन्छ। "कठोर" र "लक्स" बीचको भिन्नता लिंक पछ्याउँदा कुकीहरू रोक्नको लागि तल आउँछ।

अन्य आगामी परिवर्तनहरू मध्ये, HTTPS बिना अनुरोधहरूको लागि तेस्रो-पक्ष कुकीहरूको प्रशोधनलाई निषेध गर्ने कडा प्रतिबन्ध लागू गर्ने योजना पनि छ (SameSite=None विशेषताको साथ, कुकीहरू सुरक्षित मोडमा मात्र सेट गर्न सकिन्छ)। थप रूपमा, लुकेको पहिचान ("ब्राउजर फिंगरप्रिन्टिङ") को प्रयोगबाट जोगाउन काम गर्ने योजना छ, जसमा अप्रत्यक्ष डेटामा आधारित पहिचानकर्ताहरू उत्पन्न गर्ने विधिहरू समावेश छन्, जस्तै। स्क्रिन रिजोल्युसन, समर्थित MIME प्रकारहरूको सूची, हेडर-विशेष विकल्पहरू (HTTP / 2 и HTTPS), स्थापित को विश्लेषण प्लगइन र फन्टहरू, भिडियो कार्डहरूमा विशिष्ट वेब API हरूको उपलब्धता विशेषताहरु WebGL र Canvas प्रयोग गरेर रेन्डरिङ, हेरफेर CSS को साथ, काम गर्ने सुविधाहरूको विश्लेषण माउस и किबोर्ड.

Chrome मा पनि थपिनेछ अर्को साइटमा गएपछि मूल पृष्ठमा फर्कन कठिनाईसँग सम्बन्धित दुर्व्यवहार विरुद्ध सुरक्षा। हामी नेभिगेसन इतिहासलाई स्वचालित रिडिरेक्टको श्रृंखलाको साथ अव्यवस्थित गर्ने अभ्यासको बारेमा कुरा गर्दैछौं वा ब्राउजिङ इतिहासमा (pushState मार्फत) कृत्रिम रूपमा काल्पनिक प्रविष्टिहरू थप्ने, जसको परिणाम स्वरूप प्रयोगकर्ताले "पछाडि" बटन प्रयोग गर्न सक्दैन। एक आकस्मिक संक्रमण पछि मूल पृष्ठ वा scammers वा saboteurs को साइट मा जबरजस्ती फर्वार्ड। त्यस्ता हेरफेरहरू विरुद्ध सुरक्षा गर्न, पछाडि बटन ह्यान्डलरमा Chrome ले स्वचालित फर्वार्डिङ र ब्राउजिङ इतिहासको हेरफेरसँग सम्बन्धित रेकर्डहरू छोड्नेछ, स्पष्ट प्रयोगकर्ता कार्यहरूका कारण खोलिएका पृष्ठहरू मात्र छोड्नेछ।

स्रोत: opennet.ru

Chrome मा अब तेस्रो-पक्ष कुकीहरू र लुकेको पहिचान विरुद्ध सुरक्षा हुनेछ

एक टिप्पणी थप्न Отменить ответ