Google próximas mudanças no Chrome destinadas a melhorar a privacidade. A primeira parte das mudanças diz respeito ao tratamento de cookies e suporte ao atributo SameSite. A partir do lançamento do Chrome 76, previsto para julho, haverá a flag “same-site-by-default-cookies”, que, na ausência do atributo SameSite no cabeçalho Set-Cookie, definirá por padrão o valor “SameSite=Lax”, limitando o envio de Cookies para inserções de sites de terceiros (mas os sites ainda poderão cancelar a restrição definindo explicitamente o valor SameSite=None ao definir o Cookie).
Atributo permite definir situações em que é permitido enviar um Cookie quando é recebido um pedido de um site de terceiros. Atualmente, o navegador envia um Cookie a qualquer solicitação a um site para o qual foi definido um Cookie, mesmo que outro site seja inicialmente aberto, e a solicitação é feita indiretamente através do carregamento de uma imagem ou através de um iframe. As redes de publicidade usam esse recurso para rastrear os movimentos dos usuários entre sites e
atacantes para a organização (quando um recurso controlado pelo invasor é aberto, uma solicitação é enviada secretamente de suas páginas para outro site no qual o usuário atual está autenticado, e o navegador do usuário define cookies de sessão para tal solicitação). Por outro lado, a capacidade de enviar Cookies para sites de terceiros é utilizada para inserir widgets nas páginas, por exemplo, para integração com YuoTube ou Facebook.
Usando o atributo SameSit, você pode controlar o comportamento dos cookies e permitir que os cookies sejam enviados apenas em resposta a solicitações iniciadas no site do qual o cookie foi originalmente recebido. SameSite pode assumir três valores "Strict", "Lax" e "None". No modo 'Estrito', os Cookies não são enviados para nenhum tipo de solicitação entre sites, incluindo todos os links recebidos de sites externos. No modo 'Lax', restrições mais relaxadas são aplicadas e a transmissão de cookies é bloqueada apenas para subsolicitações entre sites, como uma solicitação de imagem ou carregamento de conteúdo por meio de um iframe. A diferença entre “Strict” e “Lax” se resume ao bloqueio de Cookies ao seguir um link.
Entre outras mudanças futuras, também está prevista a aplicação de uma restrição estrita que proíbe o processamento de Cookies de terceiros para solicitações sem HTTPS (com o atributo SameSite=None, os Cookies só podem ser definidos no modo Seguro). Além disso, está prevista a realização de trabalhos de proteção contra a utilização de identificação oculta (“impressão digital do navegador”), incluindo métodos de geração de identificadores baseados em dados indiretos, como , lista de tipos MIME suportados, parâmetros específicos em cabeçalhos ( и ), análise de instalado , disponibilidade de determinadas APIs da Web, específicas para placas de vídeo renderização usando WebGL e Canvas, com CSS, análise de recursos de trabalho com и .
Também no Chrome proteção contra abusos associados à dificuldade de retornar à página original após mudar para outro site. Estamos falando da prática de sobrecarregar o histórico de navegação com uma série de redirecionamentos automáticos ou adicionar artificialmente entradas fictícias ao histórico de navegação (via pushState), fazendo com que o usuário não possa usar o botão “Voltar” para retornar ao página original após uma transição acidental ou encaminhamento forçado para o site de golpistas ou sabotadores . Para se proteger contra tais manipulações, o Chrome no manipulador do botão Voltar irá ignorar os registros associados ao encaminhamento automático e à manipulação do histórico de navegação, deixando apenas as páginas que são abertas devido a ações explícitas do usuário.
Fonte: opennet.ru