Google nadchádzajúce zmeny prehliadača Chrome zamerané na zlepšenie ochrany osobných údajov. Prvá časť zmien sa týka spracovania súborov cookie a podpory atribútu SameSite. Počnúc vydaním prehliadača Chrome 76, ktorý sa očakáva v júli, bude príznak „same-site-by-default-cookies“, ktorý pri absencii atribútu SameSite v hlavičke Set-Cookie štandardne nastaví hodnotu „SameSite=Lax“, čím obmedzí odosielanie súborov cookie na vkladanie z stránky tretích strán (stránky však budú môcť obmedzenie zrušiť výslovným nastavením hodnoty SameSite=None pri nastavovaní súboru cookie).
Atribút umožňuje definovať situácie, v ktorých je povolené odoslať súbor cookie, keď je prijatá požiadavka zo stránky tretej strany. V súčasnosti prehliadač odošle súbor cookie na akúkoľvek požiadavku na stránku, pre ktorú bol súbor cookie nastavený, aj keď je na začiatku otvorená iná stránka, a požiadavka je zadaná nepriamo načítaním obrázka alebo prostredníctvom prvku iframe. Reklamné siete využívajú túto funkciu na sledovanie pohybu používateľov medzi stránkami a
útočníkov pre organizáciu (keď sa otvorí zdroj ovládaný útočníkom, z jeho stránok sa tajne odošle požiadavka na inú stránku, na ktorej je aktuálny používateľ overený, a prehliadač používateľa nastaví pre takúto požiadavku súbory cookie relácie). Na druhej strane možnosť posielať cookies na stránky tretích strán slúži na vkladanie widgetov do stránok, napríklad pre integráciu s YuoTube alebo Facebookom.
Pomocou atribútu SameSit môžete ovládať správanie súborov cookie a povoliť odosielanie súborov cookie iba ako odpoveď na požiadavky iniciované zo stránky, z ktorej bol súbor cookie pôvodne prijatý. SameSite môže mať tri hodnoty „Strict“, „Lax“ a „None“. V „prísnom“ režime sa súbory cookie neposielajú pre žiadny druh žiadostí medzi stránkami, vrátane všetkých prichádzajúcich odkazov z externých stránok. V režime „Lax“ sa uplatňujú uvoľnenejšie obmedzenia a prenos súborov cookie je zablokovaný iba v prípade vedľajších žiadostí medzi stránkami, ako je žiadosť o obrázok alebo načítanie obsahu prostredníctvom prvku iframe. Rozdiel medzi „Strict“ a „Lax“ spočíva v blokovaní súborov cookie pri sledovaní odkazu.
Okrem ďalších pripravovaných zmien sa plánuje uplatniť aj prísne obmedzenie, ktoré zakáže spracúvanie súborov cookie tretích strán pre požiadavky bez HTTPS (s atribútom SameSite=None je možné súbory cookie nastaviť iba v režime Secure). Okrem toho sa plánuje vykonať práce na ochranu pred používaním skrytej identifikácie („odtlačky prstov prehliadača“), vrátane metód na generovanie identifikátorov na základe nepriamych údajov, ako napr. , zoznam podporovaných typov MIME, možnosti špecifické pre hlavičku ( и ), analýza zavedených dostupnosť určitých webových rozhraní API špecifických pre grafické karty vykresľovanie pomocou WebGL a Canvas, s CSS, analýza funkcií práce s и .
Aj v prehliadači Chrome ochrana pred zneužitím spojeným s ťažkosťami pri návrate na pôvodnú stránku po prechode na inú stránku. Hovoríme o praxi zahlcovania histórie navigácie sériou automatických presmerovaní alebo umelého pridávania fiktívnych záznamov do histórie prehliadania (prostredníctvom pushState), v dôsledku čoho používateľ nemôže použiť tlačidlo „Späť“ na návrat do pôvodnú stránku po náhodnom prechode alebo nútenom preposielaní na stránku podvodníkov alebo sabotérov. Na ochranu pred takýmito manipuláciami bude prehliadač Chrome v obslužnom nástroji tlačidla Späť preskakovať záznamy spojené s automatickým preposielaním a manipuláciou s históriou prehliadania, pričom ponechá iba stránky, ktoré sú otvorené v dôsledku explicitných akcií používateľa.
Zdroj: opennet.ru