Chrome හට දැන් තෙවන පාර්ශ්ව කුකීස් සහ සැඟවුණු හඳුනාගැනීම් වලට එරෙහිව ආරක්ෂාවක් ඇත

ගූගල් ඉදිරිපත් කරන ලදී පුද්ගලිකත්වය වැඩිදියුණු කිරීම අරමුණු කරගත් Chrome වෙත ඉදිරියට එන වෙනස්කම්. වෙනස්කම්වල පළමු කොටස කුකී හැසිරවීම සහ SameSite ගුණාංගය සඳහා සහය දක්වයි. ක්‍රෝම් 76 නිකුතුවෙන් පටන් ගෙන, ජූලි මාසයේදී අපේක්ෂා කෙරේ සක්රිය කර ඇත "seme-site-by-default-cookies" ධජය, Set-Cookie ශීර්ෂයේ SameSite ගුණාංගය නොමැති විට, පෙරනිමියෙන් "SameSite=Lax" අගය සකසනු ඇත, එය ඇතුළත් කිරීම් සඳහා කුකීස් යැවීම සීමා කරයි. තෙවන පාර්ශ්ව අඩවි (නමුත් කුකී සැකසීමේදී SameSite=None යන අගය පැහැදිලිව සැකසීමෙන් සීමා කිරීම් අවලංගු කිරීමට වෙබ් අඩවි වලට හැකි වේ).

ගුණාංගය එකම අඩවිය තෙවන පාර්ශවීය වෙබ් අඩවියකින් ඉල්ලීමක් ලැබුණු විට කුකී යැවීමට අවසර ඇති අවස්ථා නිර්වචනය කිරීමට ඔබට ඉඩ සලසයි. දැනට, බ්‍රවුසරය විසින් Cookie එකක් සකසා ඇති වෙබ් අඩවියකට ඕනෑම ඉල්ලීමකට Cookie යවන අතර, වෙනත් වෙබ් අඩවියක් මුලින් විවෘත කළද, එම ඉල්ලීම වක්‍රව සිදු කරනු ලබන්නේ රූපයක් පූරණය කිරීමෙන් හෝ iframe එකක් හරහාය. ප්‍රචාරණ ජාල වෙබ් අඩවි අතර පරිශීලක චලනයන් නිරීක්ෂණය කිරීමට මෙම විශේෂාංගය භාවිතා කරයි, සහ
සංවිධානයට පහර දෙන්නන් CSRF ප්‍රහාර (ප්‍රහාරකයා විසින් පාලනය කරන ලද සම්පතක් විවෘත කළ විට, ඉල්ලීමක් එහි පිටු වලින් රහසිගතව වත්මන් පරිශීලකයා සත්‍යාපනය කර ඇති වෙනත් වෙබ් අඩවියකට යවනු ලබන අතර, පරිශීලකයාගේ බ්‍රවුසරය එවැනි ඉල්ලීමක් සඳහා සැසි කුකීස් සකසයි). අනෙක් අතට, තුන්වන පාර්ශ්ව අඩවි වෙත කුකීස් යැවීමේ හැකියාව, පිටු වලට විජට් ඇතුළු කිරීමට භාවිතා කරයි, උදාහරණයක් ලෙස, YuoTube හෝ Facebook සමඟ ඒකාබද්ධ කිරීම සඳහා.

SameSit ගුණාංගය භාවිතයෙන්, ඔබට කුකී හැසිරීම පාලනය කළ හැකි අතර කුකීස් මුලින් ලැබුණු වෙබ් අඩවියෙන් ආරම්භ කරන ලද ඉල්ලීම්වලට ප්‍රතිචාර වශයෙන් පමණක් කුකීස් යැවීමට ඉඩ දෙන්න. SameSite හට "Strict", "Lax" සහ "None" යන අගයන් තුනක් ගත හැක. 'දැඩි' ප්‍රකාරයේදී, බාහිර අඩවි වලින් ලැබෙන සියලුම සබැඳි ඇතුළුව, ඕනෑම ආකාරයක හරස්-අඩවි ඉල්ලීම් සඳහා කුකීස් යවන්නේ නැත. 'Lax' ප්‍රකාරයේදී, වඩාත් ලිහිල් සීමා කිරීම් යොදනු ලබන අතර කුකී සම්ප්‍රේෂණය අවහිර කරනු ලබන්නේ රූප ඉල්ලීමක් හෝ iframe හරහා අන්තර්ගතය පැටවීම වැනි හරස්-අඩවි උප ඉල්ලීම් සඳහා පමණි. "Strict" සහ "Lax" අතර වෙනස, සබැඳියක් අනුගමනය කරන විට කුකීස් අවහිර කිරීම දක්වා පැමිණේ.

ඉදිරියට එන අනෙකුත් වෙනස්කම් අතර, HTTPS නොමැතිව ඉල්ලීම් සඳහා තෙවන පාර්ශවීය කුකීස් සැකසීම තහනම් කරන දැඩි සීමාවක් යෙදීමටද සැලසුම් කර ඇත (SameSite=None attribute සමඟ, කුකීස් සැකසිය හැක්කේ ආරක්‍ෂිත ආකාරයෙන් පමණි). මීට අමතරව, වක්‍ර දත්ත මත පදනම්ව හඳුනාගැනීම් ජනනය කිරීමේ ක්‍රම ඇතුළුව සැඟවුණු හඳුනාගැනීම් (“බ්‍රවුසර් ඇඟිලි සලකුණු”) භාවිතයෙන් ආරක්ෂා කිරීම සඳහා වැඩ කිරීමට සැලසුම් කර ඇත. තිර විභේදනය, සහය දක්වන MIME වර්ග ලැයිස්තුව, ශීර්ෂකවල විශේෂිත පරාමිති (HTTP / 2 и HTTPS), ස්ථාපිත විශ්ලේෂණය ප්ලගින සහ අකුරු, වීඩියෝ කාඩ්පත් සඳහා විශේෂිත වූ ඇතැම් Web APIs ලබා ගැනීමේ හැකියාව විශේෂතා WebGL සහ Canvas භාවිතයෙන් විදැහුම්කරණය, හැසිරවීම CSS සමඟ, වැඩ කිරීමේ විශේෂාංග විශ්ලේෂණය මූසිකය и යතුරුපුවරුව.

Chrome වලත් එකතු වනු ඇත වෙනත් වෙබ් අඩවියකට මාරු වීමෙන් පසු මුල් පිටුවට ආපසු යාමේ දුෂ්කරතා හා සම්බන්ධ අපයෝජනයෙන් ආරක්ෂා වීම. අපි කතා කරන්නේ ස්වයංක්‍රීය යළි-යොමුවීම් මාලාවකින් සංචාලන ඉතිහාසය අවුල් කිරීමේ හෝ ගවේෂණ ඉතිහාසයට (පුෂ්ස්ටේට් හරහා) කල්පිත ඇතුළත් කිරීම් කෘතිමව එකතු කිරීමේ පුරුද්දක් ගැන ය, එහි ප්‍රතිඵලයක් ලෙස පරිශීලකයාට ආපසු යාමට “ආපසු” බොත්තම භාවිතා කළ නොහැක. මුල් පිටුව අහම්බෙන් සිදු වූ සංක්‍රාන්තියකින් හෝ වංචාකරුවන්ගේ හෝ කඩාකප්පල්කාරීන්ගේ වෙබ් අඩවියට බලහත්කාරයෙන් යොමු කිරීමෙන් පසු. එවැනි උපාමාරු වලින් ආරක්ෂා වීමට, Back බොත්තම හසුරුවන්නෙහි Chrome ස්වයංක්‍රීයව ඉදිරියට යැවීම සහ බ්‍රවුසින් ඉතිහාසය හැසිරවීම හා සම්බන්ධ වාර්තා මඟ හරිනු ඇත, පැහැදිලි පරිශීලක ක්‍රියා හේතුවෙන් විවෘත වන පිටු පමණක් ඉතිරි කරයි.

මූලාශ්රය: opennet.ru