Google modificările viitoare ale Chrome menite să îmbunătățească confidențialitatea. Prima parte a modificărilor se referă la gestionarea cookie-urilor și suportul pentru atributul SameSite. Începând cu lansarea Chrome 76, așteptată în iulie, vor exista indicatorul „same-site-by-default-cookies”, care, în lipsa atributului SameSite din antetul Set-Cookie, va seta implicit valoarea „SameSite=Lax”, limitând trimiterea de Cookie-uri pentru inserări de la site-uri terță parte (dar site-urile vor putea în continuare să anuleze restricția prin setarea explicită a valorii SameSite=None la setarea cookie-ului).
Atribut vă permite să definiți situații în care este permisă trimiterea unui Cookie atunci când o solicitare este primită de la un site terță parte. În prezent, browserul trimite un Cookie la orice solicitare către un site pentru care a fost setat un Cookie, chiar dacă inițial este deschis un alt site, iar solicitarea se face indirect prin încărcarea unei imagini sau printr-un iframe. Rețelele de publicitate folosesc această funcție pentru a urmări mișcările utilizatorilor între site-uri și
atacatori pentru organizație (atunci când o resursă controlată de atacator este deschisă, o solicitare este trimisă în mod secret de pe paginile sale către un alt site pe care utilizatorul actual este autentificat, iar browserul utilizatorului setează Cookie-uri de sesiune pentru o astfel de solicitare). Pe de altă parte, abilitatea de a trimite Cookie-uri către site-uri terțe este folosită pentru a insera widget-uri în pagini, de exemplu, pentru integrarea cu YuoTube sau Facebook.
Folosind atributul SameSit, puteți controla comportamentul Cookie-urilor și permiteți ca Cookie-urile să fie trimise numai ca răspuns la solicitările inițiate de pe site-ul de pe care Cookie-ul a fost primit inițial. SameSite poate lua trei valori „Strict”, „Lax” și „Niciuna”. În modul „Strict”, cookie-urile nu sunt trimise pentru niciun fel de solicitări între site-uri, inclusiv toate linkurile primite de pe site-uri externe. În modul „Lax”, se aplică restricții mai relaxate, iar transmiterea cookie-urilor este blocată numai pentru solicitări secundare pe mai multe site-uri, cum ar fi o solicitare de imagine sau încărcarea conținutului printr-un iframe. Diferența dintre „Strict” și „Lax” se rezumă la blocarea cookie-urilor atunci când urmăresc un link.
Printre alte modificări viitoare, este planificată și aplicarea unei restricții stricte care interzice procesarea cookie-urilor terților pentru solicitările fără HTTPS (cu atributul SameSite=None, Cookie-urile pot fi setate doar în modul Securizat). În plus, este planificată să se efectueze lucrări de protecție împotriva utilizării de identificare ascunsă („amprentarea browserului”), inclusiv metode de generare a identificatorilor pe baza datelor indirecte, cum ar fi , lista de tipuri MIME acceptate, parametri specifici din antete ( и ), analiza instalate , disponibilitatea anumitor API-uri Web, specifice plăcilor video randare folosind WebGL și Canvas, cu CSS, analiza caracteristicilor de lucru cu и .
Tot în Chrome protecție împotriva abuzului asociat cu dificultăți de revenire la pagina originală după mutarea pe alt site. Vorbim despre practica de a aglomera istoricul de navigare cu o serie de redirecționări automate sau de a adăuga artificial intrări fictive în istoricul de navigare (prin pushState), în urma căreia utilizatorul nu poate folosi butonul „Înapoi” pentru a reveni la pagina originală după o tranziție accidentală sau redirecționare forțată către site-ul escrocilor sau sabotorilor. Pentru a se proteja împotriva unor astfel de manipulări, Chrome în gestionarea butonului Înapoi va omite înregistrările asociate cu redirecționarea automată și manipularea istoricului de navigare, lăsând doar paginile care sunt deschise din cauza acțiunilor explicite ale utilizatorului.
Sursa: opennet.ru