Google những thay đổi sắp tới đối với Chrome nhằm cải thiện quyền riêng tư. Phần đầu tiên của những thay đổi liên quan đến việc xử lý Cookie và hỗ trợ cho thuộc tính SameSite. Bắt đầu với việc phát hành Chrome 76, dự kiến vào tháng XNUMX, sẽ có cờ “same-site-by-default-cookies”, nếu không có thuộc tính SameSite trong tiêu đề Set-Cookie, theo mặc định sẽ đặt giá trị “SameSite=Lax”, hạn chế việc gửi Cookie để chèn từ các trang web của bên thứ ba (nhưng các trang web vẫn có thể hủy hạn chế bằng cách đặt rõ ràng giá trị SameSite=None khi đặt Cookie).
Thuộc tính cho phép bạn xác định các tình huống được phép gửi Cookie khi nhận được yêu cầu từ trang web của bên thứ ba. Hiện tại, trình duyệt gửi Cookie tới bất kỳ yêu cầu nào tới trang web đã đặt Cookie, ngay cả khi trang web khác được mở ban đầu và yêu cầu được thực hiện gián tiếp bằng cách tải hình ảnh hoặc thông qua iframe. Mạng quảng cáo sử dụng tính năng này để theo dõi chuyển động của người dùng giữa các trang web và
kẻ tấn công tổ chức (khi tài nguyên do kẻ tấn công kiểm soát được mở, một yêu cầu sẽ được gửi bí mật từ các trang của nó đến một trang khác mà người dùng hiện tại được xác thực và trình duyệt của người dùng sẽ đặt Cookie phiên cho yêu cầu đó). Mặt khác, khả năng gửi Cookie đến các trang web của bên thứ ba được sử dụng để chèn tiện ích vào các trang, chẳng hạn như để tích hợp với YuoTube hoặc Facebook.
Bằng cách sử dụng thuộc tính SameSit, bạn có thể kiểm soát hành vi của Cookie và chỉ cho phép gửi Cookie để đáp ứng các yêu cầu được bắt đầu từ trang web mà Cookie ban đầu được nhận. SameSite có thể nhận ba giá trị "Strict", "Lax" và "None". Ở chế độ 'Nghiêm ngặt', Cookie không được gửi cho bất kỳ loại yêu cầu giữa các trang web nào, bao gồm tất cả các liên kết đến từ các trang web bên ngoài. Ở chế độ 'Lax', các hạn chế thoải mái hơn được áp dụng và việc truyền Cookie chỉ bị chặn đối với các yêu cầu phụ trên nhiều trang web, chẳng hạn như yêu cầu hình ảnh hoặc tải nội dung qua iframe. Sự khác biệt giữa “Nghiêm ngặt” và “Lỏng lẻo” nằm ở việc chặn Cookies khi truy cập một liên kết.
Trong số những thay đổi sắp tới khác, người ta cũng dự định áp dụng một hạn chế nghiêm ngặt cấm xử lý Cookie của bên thứ ba đối với các yêu cầu không có HTTPS (với thuộc tính SameSite=None, Cookie chỉ có thể được đặt ở chế độ Bảo mật). Ngoài ra, dự kiến sẽ thực hiện công việc để bảo vệ chống lại việc sử dụng nhận dạng ẩn ("dấu vân tay của trình duyệt"), bao gồm các phương pháp tạo mã định danh dựa trên dữ liệu gián tiếp, chẳng hạn như , danh sách các loại MIME được hỗ trợ, các tham số cụ thể trong tiêu đề ( и ), phân tích cài đặt , tính khả dụng của một số API Web nhất định, dành riêng cho thẻ video hiển thị bằng WebGL và Canvas, với CSS, phân tích các tính năng làm việc với и .
Cũng trong Chrome bảo vệ chống lạm dụng liên quan đến khó quay lại trang gốc sau khi chuyển sang trang khác. Chúng ta đang nói về hành vi làm lộn xộn lịch sử điều hướng bằng một loạt chuyển hướng tự động hoặc thêm các mục nhập giả tạo vào lịch sử duyệt web (thông qua pushState), do đó người dùng không thể sử dụng nút “Quay lại” để quay lại trang trang gốc sau khi vô tình chuyển tiếp hoặc buộc phải chuyển tiếp đến trang web của những kẻ lừa đảo hoặc kẻ phá hoại . Để bảo vệ khỏi những thao tác như vậy, Chrome trong trình xử lý nút Quay lại sẽ bỏ qua các bản ghi liên quan đến việc tự động chuyển tiếp và thao tác lịch sử duyệt web, chỉ để lại những trang được mở do hành động rõ ràng của người dùng.
Nguồn: opennet.ru