Google nadchodzące zmiany w Chrome mające na celu poprawę prywatności. Pierwsza część zmian dotyczy obsługi plików cookies oraz obsługi atrybutu SameSite. Począwszy od premiery Chrome 76, oczekiwanej w lipcu, będzie flagę „same-site-by-default-cookies”, która w przypadku braku atrybutu SameSite w nagłówku Set-Cookie domyślnie ustawi wartość „SameSite=Lax”, ograniczając wysyłanie plików Cookies do wstawienia z witryny stron trzecich (ale witryny nadal będą mogły anulować ograniczenie, jawnie ustawiając wartość SameSite=None podczas ustawiania pliku cookie).
Atrybut umożliwia zdefiniowanie sytuacji, w których dopuszczalne jest przesłanie pliku Cookie w przypadku otrzymania żądania z witryny strony trzeciej. Obecnie przeglądarka wysyła plik cookie na każde żądanie skierowane do witryny, dla której ustawiono plik cookie, nawet jeśli początkowo otwarta jest inna witryna, a żądanie jest realizowane pośrednio poprzez załadowanie obrazu lub za pośrednictwem ramki iframe. Sieci reklamowe wykorzystują tę funkcję do śledzenia ruchów użytkowników między witrynami i
atakujących organizację (w momencie otwarcia zasobu kontrolowanego przez atakującego, z jego stron w tajemnicy wysyłane jest żądanie do innej witryny, w której bieżący użytkownik jest uwierzytelniany, a przeglądarka użytkownika ustawia sesyjne pliki cookie na potrzeby takiego żądania). Natomiast możliwość wysyłania plików Cookies do witryn podmiotów trzecich wykorzystywana jest w celu wstawiania na strony widżetów, np. w celu integracji z YuoTube czy Facebookiem.
Korzystając z atrybutu SameSit, możesz kontrolować zachowanie plików cookie i zezwalać na wysyłanie plików cookie tylko w odpowiedzi na żądania zainicjowane z witryny, z której pierwotnie otrzymano plik cookie. SameSite może przyjmować trzy wartości „Strict”, „Lax” i „None”. W trybie „Ścisłym” pliki cookie nie są wysyłane w przypadku jakichkolwiek żądań między witrynami, w tym wszystkich linków przychodzących z witryn zewnętrznych. W trybie „Lax” stosowane są łagodniejsze ograniczenia, a transmisja plików cookie jest blokowana tylko w przypadku żądań podrzędnych między witrynami, takich jak żądanie obrazu lub ładowanie treści za pośrednictwem elementu iframe. Różnica między „Ścisłym” a „Niedbałym” sprowadza się do blokowania plików cookie podczas korzystania z łącza.
Wśród innych nadchodzących zmian planowane jest również zastosowanie ścisłego ograniczenia, które zabrania przetwarzania plików cookies stron trzecich dla żądań bez protokołu HTTPS (z atrybutem SameSite=None, pliki cookies można ustawiać wyłącznie w trybie bezpiecznym). Ponadto planowane jest prowadzenie prac nad zabezpieczeniem przed stosowaniem ukrytej identyfikacji („odcisk palca przeglądarki”), w tym metod generowania identyfikatorów na podstawie danych pośrednich, takich jak m.in. , lista obsługiwanych typów MIME, określone parametry w nagłówkach ( и ), analiza zainstalowanych , dostępność niektórych interfejsów API sieci Web, specyficznych dla kart graficznych renderowanie przy użyciu WebGL i Canvas, z CSS, analiza cech pracy z и .
Również w Chrome ochrona przed nadużyciami związanymi z trudnościami w powrocie do oryginalnej strony po przejściu na inną stronę. Mowa tu o praktyce zaśmiecania historii nawigacji serią automatycznych przekierowań lub sztucznego dodawania fikcyjnych wpisów do historii przeglądania (poprzez pushState), w efekcie czego użytkownik nie może skorzystać z przycisku „Wstecz”, aby wrócić do oryginalna strona po przypadkowym przeniesieniu lub wymuszonym przesłaniu na stronę oszustów lub sabotażystów. Aby zabezpieczyć się przed takimi manipulacjami, Chrome w module obsługi przycisku Wstecz pominie rekordy związane z automatycznym przesyłaniem dalej i manipulacją historią przeglądania, pozostawiając jedynie strony otwarte w wyniku wyraźnych działań użytkownika.
Źródło: opennet.ru