سيحمي Chrome من نقل ملفات تعريف الارتباط التابعة لجهات خارجية وتحديد الهوية المخفية

جوجل كروم

جوجل كروم

أعلنت Google عن إدخال تغييرات مستقبلية على Chromeتهدف إلى تحسين الخصوصية. أول جزء من التغييرات يشير إلى معالجة ملفات تعريف الارتباط ودعم سمة SameSite.

بدءًا من إصدار Chrome الإصدار 76 (متوقع في يوليو) ،  سيتم تنشيط العلامة التجارية "نفس الموقع افتراضيًا ملفات تعريف الارتباط" أنه في حالة عدم وجود سمة SameSite في رأس Set-Cookie ، سيتم تعيين القيمة "SameSite = Lax" افتراضيًا ، مما يحد من إرسال ملفات تعريف الارتباط.

بالنسبة لإدخالات موقع الطرف الثالث (ولكن ستظل المواقع قادرة على إزالة التقييد ، من الواضح عن طريق تعيين SameSite = لا شيء عند تعيين ملف تعريف الارتباط).

ينسب يسمح SameSite لمتصفح الويب (كروم) تحديد الحالات التي يكون فيها نقل ملفات تعريف الارتباط مقبولاً عندما يأتي طلب من موقع طرف ثالث.

حاليًا ، يرسل المتصفح ملفات تعريف الارتباط عند أي طلب إلى الموقع الذي تم تعيين ملفات تعريف الارتباط له ، حتى إذا تم فتح موقع آخر في البداية وتم إجراء المكالمة بشكل غير مباشر عن طريق تنزيل صورة أو استخدام إطار iframe.

حول SameSite

تستخدم شبكات الإعلانات هذه الميزة للتتبع حركة المستخدمين بين المواقع والمهاجمين لتنظيم هجمات CSRF(عندما يتم فتح مورد يتحكم فيه المهاجم ، يتم إخفاء طلب من صفحاته إلى موقع آخر حيث تمت مصادقة المستخدم الحالي ، ويقوم مستعرض المستخدم بتعيين ملفات تعريف الارتباط للجلسة لهذا الطلب.)

من ناحية أخرى ، تُستخدم القدرة على إرسال ملفات تعريف الارتباط إلى مواقع الجهات الخارجية لإدراج عناصر واجهة مستخدم على الصفحات ، على سبيل المثال ، للتكامل مع YouTube أو Facebook.

باستخدام السمة SameSite ، يمكنك التحكم في السلوك عند تعيين ملفات تعريف الارتباط والسماح بإرسال ملفات تعريف الارتباط فقط استجابة للطلبات التي بدأت من الموقع الذي تم استلام ملفات تعريف الارتباط هذه منه في الأصل.

يمكن أن يأخذ SameSite ثلاث قيم "Strict" و "Lax" و "None".

في الوضع الصارم ("صارم")لا يتم إرسال ملفات تعريف الارتباط لأي نوع من طلبات المواقع المشتركة ، بما في ذلك جميع الروابط الواردة من مواقع خارجية.

في الوضع "لاكس": تطبق قيود أكثر ليونة ولا يتم حظر نقل ملفات تعريف الارتباط إلا لطلبات عبر المواقع مثل طلب صورة أو تنزيل محتوى عبر إطار iframe.

يعود التمييز بين "Strict" و "Lax" إلى حظر ملفات تعريف الارتباط عند اتباع رابط.

تغييرات أخرى

من بين التغييرات الأخرى القادمة المتوقعة للإصدارات المستقبلية من Chrome ، من المخطط تطبيق حد صارم يحظر معالجة ملفات تعريف ارتباط الطرف الثالث للطلبات بدون HTTPS (مع السمة SameSite = لا شيء ، لا يمكن تعيين ملفات تعريف الارتباط إلا في الوضع الآمن).

بالإضافة إلى ذلك ، تم التخطيط للعمل للحماية من استخدام بصمات المتصفح ، بما في ذلك طرق إنشاء المعرفات بناءً على البيانات غير المباشرة مثل دقة الشاشة ، وقائمة بأنواع MIME المدعومة ، والمعلمات المحددة في الرؤوس (HTTP / 2 و HTTPS) ، والتحليل من الإضافات والخطوط المثبتة.

بالإضافة إلى توفر بعض واجهات برمجة تطبيقات الويب، وظائف عرض خاصة ببطاقة الفيديو باستخدام WebGL و Canvas ، ومعالجات CSS ، وتحليل خصائص الماوس ولوحة المفاتيح.

بالإضافة إلى ذلك ، يتمتع Chrome بحماية ضد lالإساءات المرتبطة بـ صعوبة العودة إلى الصفحة الأصلية بعد التبديل إلى موقع آخر (تنفيذ جيد ، مقابل المواقع التي تعيد توجيهك بين الصفحات).

نحن نتحدث عن ممارسة تشبع سجل التحويل بسلسلة من عمليات إعادة التوجيه التلقائية أو إضافة إدخالات وهمية بشكل مصطنع إلى سجل التصفح (عبر pushState) ، ونتيجة لذلك لا يمكن للمستخدم استخدام الزر "رجوع" للعودة. الصفحة الأصلية بعد انتقال عشوائي أو إعادة توجيه إجباري إلى موقع احتيالي.

للحماية من مثل هذه التلاعبات ، سيتخطى Chrome الموجود في معالج الزر الخلفي السجلات المرتبطة بإعادة التوجيه التلقائي وزيارة معالجة السجل، مع ترك الصفحات مفتوحة فقط بإجراءات مستخدم صريحة.

مصدر: https://blog.chromium.org/


تعليق ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   بابلو قال

    وكيف يتم تعيين ملف تعريف الارتباط بالضبط؟