谷歌 Chrome 即将进行的更改旨在改善隐私。 更改的第一部分涉及 Cookie 处理和 SameSite 属性的支持。 从预计 76 月发布的 Chrome XNUMX 开始,将会有 “same-site-by-default-cookies”标志,在 Set-Cookie 标头中缺少 SameSite 属性的情况下,默认情况下将设置值“SameSite=Lax”,限制发送来自以下位置的插入的 Cookie第三方站点(但站点仍然可以通过在设置 Cookie 时显式设置值 SameSite=None 来取消限制)。
属性 允许您定义在从第三方站点收到请求时允许发送 Cookie 的情况。 目前,即使最初打开了另一个站点,浏览器也会向已设置 Cookie 的站点发送 Cookie,并且该请求是通过加载图像或通过 iframe 间接发出的。 广告网络使用此功能来跟踪网站之间的用户移动,并且
组织的攻击者 (当攻击者控制的资源被打开时,请求会从其页面秘密发送到当前用户经过身份验证的另一个站点,并且用户的浏览器会为此类请求设置会话 Cookie)。 另一方面,向第三方网站发送 Cookie 的功能用于将小部件插入页面,例如与 YuoTube 或 Facebook 集成。
使用 SameSit 属性,您可以控制 Cookie 行为并允许仅在响应最初接收 Cookie 的站点发起的请求时发送 Cookie。 SameSite 可以取三个值“Strict”、“Lax”和“None”。 在“严格”模式下,不会为任何类型的跨站点请求发送 Cookie,包括来自外部站点的所有传入链接。 在“Lax”模式下,应用更宽松的限制,并且仅针对跨站点子请求(例如图像请求或通过 iframe 加载内容)阻止 Cookie 传输。 “严格”和“宽松”之间的区别归结为在点击链接时阻止 Cookie。
除其他即将推出的更改外,还计划应用严格的限制,禁止对非 HTTPS 的请求处理第三方 Cookie(使用 SameSite=None 属性,只能在安全模式下设置 Cookie)。 此外,还计划开展工作,防止使用隐藏身份识别(“浏览器指纹识别”),包括基于间接数据生成标识符的方法,例如 , 支持的 MIME 类型列表, 标头特定选项 ( и ), 建立的分析 ,特定于视频卡的某些 Web API 的可用性 使用 WebGL 和 Canvas 进行渲染, 使用 CSS,分析使用的特性 и .
也在 Chrome 中 防止因移动到另一个站点后难以返回原始页面而导致的滥用。 我们讨论的是通过一系列自动重定向或人为地向浏览历史记录中添加虚构条目(通过pushState)来扰乱导航历史记录的做法,其结果是用户无法使用“后退”按钮返回到意外转换或强制转发到诈骗者或破坏者网站后的原始页面。 为了防止此类操作,后退按钮处理程序中的 Chrome 将跳过与自动转发和浏览历史记录操作相关的记录,仅留下由于显式用户操作而打开的页面。
来源: opennet.ru