компанія Google майбутні зміни в Chrome, націлені на підвищення конфіденційності. Перша частина змін стосується обробки Cookie та підтримки атрибуту SameSite. Починаючи з випуску Chrome 76, що очікується у липні, буде прапор «same-site-by-default-cookies», який у разі відсутності атрибуту SameSite у заголовку Set-Cookie за промовчанням виставлятиме значення «SameSite=Lax», що обмежує відправлення Cookie для вставок зі сторонніх сайтів (але сайти, як і раніше, зможуть скасувати обмеження, явно виставляючи при встановленні Cookie значення SameSite = None).
Атрибут дозволяє визначати ситуації, в яких допустима передача Cookie при надходженні запиту зі стороннього сайту. В даний час браузер передає Cookie на будь-який запит до сайту, для якого є виставлені Cookie, навіть якщо спочатку відкритий інший сайт, а звернення здійснюється опосередковано за допомогою завантаження картинки або через iframe. Рекламні мережі використовують цю особливість для відстеження переміщень користувача між сайтами, а
зловмисники для організації (при відкритті підконтрольного атакуючим ресурсу з його сторінок приховано надсилається запит на інший сайт, на якому автентифікований поточний користувач, та браузер користувача виставляє для такого запиту сесійні Cookie). З іншого боку, можливість відправлення Cookie на сторонні сайти застосовується для вставки на сторінки віджетів, наприклад, для інтеграції з YuoTube або Facebook.
За допомогою атрибуту SameSit можна керувати поведінкою під час виставлення Cookie та дозволити відправлення Cookie лише у відповідь на запити, ініційовані з сайту, з якого ці Cookie спочатку були отримані. SameSite може приймати три значення "Strict", "Lax" та "None". У режимі 'Strict' Cookie не надсилаються для будь-яких видів міжсайтових запитів, включаючи всі посилання з зовнішніх сайтів. У режимі 'Lax' застосовуються більш м'які обмеження та передача Cookie блокується тільки для міжсайтових субзапитів, таких як запит зображення або завантаження контенту через iframe. Відмінність "Strict" і "Lax" зводяться до блокування Cookie під час переходу за посиланням.
З інших майбутніх змін також намічається застосування жорсткого обмеження, що забороняє обробку сторонніх cookie для запитів без HTTPS (з атрибутом SameSite=None cookie зможуть виставлятися тільки в режимі Secure). Крім того, планується виконання роботи із захисту від застосування прихованої ідентифікації (browser fingerprinting), включаючи методи генерації ідентифікаторів на основі непрямих даних, таких як , список підтримуваних MIME-типів, специфічні параметри в заголовках ( и ), аналіз встановлених , доступність певних Web API, специфічні для відеокарт малювання за допомогою WebGL і Canvas, з CSS, аналіз особливостей роботи з и .
Крім того у Chrome захист від зловживань, пов'язаних із утрудненням повернення на вихідну сторінку після переходу на інший сайт. Йдеться про практику захаращення історії переходів серією автоматичних редиректів або штучним додаванням фіктивних записів в історію переглядів (через pushState), внаслідок чого користувач не може скористатися кнопкою «Back» для повернення на вихідну сторінку після випадкового переходу або примусового прокидання на сайт шахраїв . Для захисту від подібних маніпуляцій Chrome в обробнику кнопки Back пропускатиме записи, пов'язані з автоматичними прокидками та маніпуляціями з історією відвідувань, залишаючи лише сторінки, відкриття при явних діях користувача.
Джерело: opennet.ru