Google prihajajoče spremembe Chroma, namenjene izboljšanju zasebnosti. Prvi del sprememb zadeva ravnanje s piškotki in podporo za atribut SameSite. Od izdaje Chroma 76, predvidoma julija, jih bo zastavico »same-site-by-default-cookies«, ki bo v odsotnosti atributa SameSite v glavi Set-Cookie privzeto nastavila vrednost »SameSite=Lax« in omejila pošiljanje piškotkov za vstavljanje iz spletna mesta tretjih oseb (vendar bodo spletna mesta vseeno lahko preklicala omejitev z izrecno nastavitvijo vrednosti SameSite=None pri nastavitvi piškotka).
Atribut vam omogoča, da določite situacije, v katerih je dovoljeno poslati piškotek, ko prejmete zahtevo s strani tretje osebe. Trenutno brskalnik pošlje piškotek na katero koli zahtevo spletnemu mestu, za katerega je bil nastavljen piškotek, tudi če je prvotno odprto drugo spletno mesto, zahteva pa je poslana posredno z nalaganjem slike ali prek okvirja iframe. Oglaševalska omrežja uporabljajo to funkcijo za sledenje premikom uporabnikov med spletnimi mesti in
napadalci na organizacijo (ko se odpre vir, ki ga nadzoruje napadalec, se z njegovih strani na skrivaj pošlje zahteva na drugo spletno mesto, na katerem je trenutni uporabnik potrjen, in uporabnikov brskalnik za takšno zahtevo nastavi piškotke seje). Po drugi strani pa se možnost pošiljanja piškotkov na spletna mesta tretjih oseb uporablja za vstavljanje pripomočkov na strani, na primer za integracijo z YuoTube ali Facebook.
Z atributom SameSit lahko nadzirate vedenje piškotkov in dovolite, da se piškotki pošiljajo samo kot odgovor na zahteve, sprožene s strani, s katere je bil piškotek prvotno prejet. SameSite lahko sprejme tri vrednosti "Strict", "Lax" in "None". V 'strogem' načinu se piškotki ne pošiljajo za kakršne koli zahteve med spletnimi mesti, vključno z vsemi dohodnimi povezavami z zunanjih spletnih mest. V načinu »Lax« se uporabljajo bolj sproščene omejitve in prenos piškotkov je blokiran samo za podzahteve med spletnimi mesti, kot je zahteva za sliko ali nalaganje vsebine prek okvirja iframe. Razlika med »Strict« in »Lax« se zmanjša na blokiranje piškotkov, ko sledite povezavi.
Med drugimi prihajajočimi spremembami je predvidena tudi uporaba stroge omejitve, ki prepoveduje obdelavo piškotkov tretjih oseb za zahteve brez HTTPS (z atributom SameSite=None je piškotke mogoče nastaviti le v varnem načinu). Poleg tega je predvideno izvajanje dela za zaščito pred uporabo skrite identifikacije (»prstni odtis brskalnika«), vključno z metodami za generiranje identifikatorjev na podlagi posrednih podatkov, kot je npr. , seznam podprtih tipov MIME, možnosti, specifične za glavo ( и ), analiza uveljavljenih , razpoložljivost nekaterih spletnih API-jev, specifičnih za grafične kartice upodabljanje z uporabo WebGL in Canvas, s CSS, analiza značilnosti dela z и .
Tudi v Chromu zaščita pred zlorabo, povezano s težavami pri vrnitvi na prvotno stran po prehodu na drugo spletno mesto. Govorimo o praksi zatiranja zgodovine navigacije z nizom samodejnih preusmeritev ali umetnega dodajanja fiktivnih vnosov v zgodovino brskanja (preko pushState), zaradi česar se uporabnik ne more vrniti na gumb »Nazaj«. izvirna stran po nenamernem prehodu ali prisilnem posredovanju na stran prevarantov ali saboterjev. Da bi se zaščitil pred takšnimi manipulacijami, bo Chrome v upravljalniku gumba Nazaj preskočil zapise, povezane s samodejnim posredovanjem in manipulacijo zgodovine brskanja, pri čemer bodo ostale samo strani, ki so odprte zaradi izrecnih uporabnikovih dejanj.
Vir: opennet.ru