Google kommande ändringar av Chrome som syftar till att förbättra integriteten. Den första delen av ändringarna gäller Cookie-hantering och stöd för SameSite-attributet. Från och med lanseringen av Chrome 76, som väntas i juli, kommer det att finnas flaggan "same-site-by-default-cookies", som, i avsaknad av SameSite-attributet i Set-Cookie-huvudet, som standard kommer att ställa in värdet "SameSite=Lax", vilket begränsar sändningen av cookies för infogning från tredjepartswebbplatser (men webbplatser kommer fortfarande att kunna avbryta begränsningen genom att uttryckligen ange värdet SameSite=Ingen när kakan ställs in).
Attribut låter dig definiera situationer där det är tillåtet att skicka en cookie när en begäran tas emot från en tredje parts webbplats. För närvarande skickar webbläsaren en cookie till alla förfrågningar till en webbplats för vilken en cookie har ställts in, även om en annan sida har öppnats från början, och begäran görs indirekt genom att ladda en bild eller via en iframe. Annonsnätverk använder den här funktionen för att spåra användarrörelser mellan webbplatser och
angripare för organisationen (när en resurs som kontrolleras av angriparen öppnas, skickas en begäran i hemlighet från dess sidor till en annan webbplats där den aktuella användaren är autentiserad, och användarens webbläsare ställer in sessionscookies för en sådan begäran). Å andra sidan används möjligheten att skicka cookies till tredje parts webbplatser för att infoga widgets på sidor, till exempel för integration med YuoTube eller Facebook.
Genom att använda SameSit-attributet kan du styra cookie-beteendet och tillåta att cookies skickas endast som svar på förfrågningar som initieras från webbplatsen från vilken kakan ursprungligen togs emot. SameSite kan ta tre värden "Strict", "Lax" och "None". I "Strikt"-läge skickas inte cookies för någon form av förfrågningar mellan webbplatser, inklusive alla inkommande länkar från externa webbplatser. I "Lax"-läge tillämpas mer avslappnade begränsningar och överföring av cookies blockeras endast för underförfrågningar mellan webbplatser, såsom en bildförfrågan eller laddning av innehåll via en iframe. Skillnaden mellan "Strikt" och "Lax" handlar om att blockera cookies när du följer en länk.
Bland andra kommande ändringar är det också planerat att tillämpa en strikt begränsning som förbjuder behandling av tredjepartscookies för förfrågningar utan HTTPS (med SameSite=None-attributet kan cookies endast ställas in i säkert läge). Dessutom planeras att genomföra ett arbete för att skydda mot användning av dold identifiering (”webbläsarfingeravtryck”), inklusive metoder för att generera identifierare baserade på indirekta data, som t.ex. , lista över MIME-typer som stöds, specifika parametrar i rubriker ( и ), analys av installerade , tillgänglighet för vissa webb-API:er, specifika för grafikkort rendering med WebGL och Canvas, med CSS, analys av funktioner i att arbeta med и .
Även i Chrome skydd mot missbruk i samband med svårigheter att återgå till den ursprungliga sidan efter att ha flyttat till en annan webbplats. Vi pratar om praxis att belamra navigeringshistoriken med en serie automatiska omdirigeringar eller att på konstgjord väg lägga till fiktiva poster till webbhistoriken (via pushState), som ett resultat av vilket användaren inte kan använda "Tillbaka"-knappen för att återgå till originalsidan efter en oavsiktlig övergång eller påtvingad vidarebefordran till platsen för bedragare eller sabotörer. För att skydda mot sådana manipulationer kommer Chrome i bakåtknapphanteraren att hoppa över poster associerade med automatisk vidarebefordran och manipulering av webbhistoriken, vilket bara lämnar sidor som öppnas på grund av explicita användaråtgärder.
Källa: opennet.ru