Google kommende endringer i Chrome med sikte på å forbedre personvernet. Den første delen av endringene gjelder håndtering av informasjonskapsler og støtte for SameSite-attributtet. Fra og med utgivelsen av Chrome 76, forventet i juli, vil det være «same-site-by-default-cookies»-flagget, som, i mangel av SameSite-attributtet i Set-Cookie-overskriften, som standard vil sette verdien «SameSite=Lax», som begrenser sendingen av informasjonskapsler for innsetting fra tredjeparts nettsteder (men nettsteder vil fortsatt kunne kansellere begrensningen ved å eksplisitt angi verdien SameSite=Ingen når du angir informasjonskapselen).
Egenskap lar deg definere situasjoner der det er tillatt å sende en informasjonskapsel når en forespørsel mottas fra en tredjepartsside. For øyeblikket sender nettleseren en informasjonskapsel til enhver forespørsel til et nettsted som det er satt inn en informasjonskapsel for, selv om et annet nettsted først er åpnet, og forespørselen gjøres indirekte ved å laste et bilde eller gjennom en iframe. Annonseringsnettverk bruker denne funksjonen til å spore brukerbevegelser mellom nettsteder, og
angripere for organisasjonen (når en ressurs kontrollert av angriperen åpnes, sendes en forespørsel i hemmelighet fra sidene til et annet nettsted der den nåværende brukeren er autentisert, og brukerens nettleser angir øktinformasjonskapsler for en slik forespørsel). På den annen side brukes muligheten til å sende informasjonskapsler til tredjepartssider til å sette inn widgets på sider, for eksempel for integrasjon med YuoTube eller Facebook.
Ved å bruke SameSit-attributtet kan du kontrollere atferden for informasjonskapsler og tillate at informasjonskapsler sendes kun som svar på forespørsler initiert fra nettstedet som informasjonskapselen opprinnelig ble mottatt fra. SameSite kan ta tre verdier "Strict", "Lax" og "None". I "Streng"-modus sendes ikke informasjonskapsler for noen form for forespørsler på tvers av nettsteder, inkludert alle innkommende lenker fra eksterne nettsteder. I "Lax"-modus brukes mer avslappede begrensninger og overføring av informasjonskapsler blokkeres bare for underforespørsler på tvers av nettsteder, for eksempel en bildeforespørsel eller lasting av innhold via en iframe. Forskjellen mellom "Strikt" og "Laks" kommer ned til å blokkere informasjonskapsler når du følger en lenke.
Blant andre kommende endringer er det også planlagt å bruke en streng begrensning som forbyr behandling av tredjeparts informasjonskapsler for forespørsler uten HTTPS (med SameSite=None-attributtet kan informasjonskapsler kun settes i sikker modus). I tillegg planlegges det å gjennomføre et arbeid for å beskytte mot bruk av skjult identifikasjon («nettleser-fingeravtrykk»), herunder metoder for å generere identifikatorer basert på indirekte data, som f.eks. , liste over støttede MIME-typer, spesifikke parametere i overskrifter ( и ), analyse av installert , tilgjengelighet av visse web-API-er, spesifikke for skjermkort gjengivelse ved hjelp av WebGL og Canvas, med CSS, analyse av funksjoner ved å jobbe med и .
Også i Chrome beskyttelse mot misbruk forbundet med problemer med å gå tilbake til den opprinnelige siden etter å ha flyttet til et annet nettsted. Vi snakker om praksisen med å rote opp navigasjonshistorikken med en serie automatiske omdirigeringer eller kunstig legge til fiktive oppføringer i nettlesingsloggen (via pushState), som et resultat av at brukeren ikke kan bruke "Tilbake"-knappen for å gå tilbake til original side etter en utilsiktet overgang eller tvungen videresending til nettstedet til svindlere eller sabotører. For å beskytte mot slike manipulasjoner, vil Chrome i tilbake-knappbehandleren hoppe over poster knyttet til automatisk videresending og manipulering av nettleserloggen, og bare etterlate sider som åpnes på grunn av eksplisitte brukerhandlinger.
Kilde: opennet.ru