Google Chrome
Google обяви въвеждането на бъдещи промени в Chrome, предназначени да подобрят поверителността. Първи част от промените се отнася до обработката на бисквитки и поддръжката на атрибута SameSite.
Започвайки с пускането на Chrome версия 76 (очаква се през юли), ще бъде активирана марката „същите сайтове по подразбиране“ че при липса на атрибута SameSite в заглавката Set-Cookie, стойността "SameSite = Lax" ще бъде зададена по подразбиране, което ограничава изпращането на бисквитки.
За вмъкване на сайтове на трети страни (но сайтовете все пак ще могат да премахнат ограничението, очевидно чрез задаване на SameSite = None при задаване на бисквитката).
Атрибут SameSite позволява уеб браузъра (хром) определят ситуации, в които прехвърлянето на бисквитки е приемливо когато заявка идва от сайт на трета страна.
Понастоящем браузърът изпраща „бисквитки“ при всяка заявка към сайта, за който са зададени „бисквитки“, дори ако първоначално е отворен друг сайт и повикването се извършва непряко чрез изтегляне на изображение или използване на рамка.
Относно SameSite
Рекламните мрежи използват тази функция за проследяване движението на потребителите между сайтовете и нападателите да организират CSRF атаки(Когато се отвори контролиран от нападателя ресурс, заявката се скрива от нейните страници към друг сайт, където текущият потребител е удостоверен и браузърът на потребителя задава сесийни бисквитки за тази заявка.)
От друга страна, възможността за изпращане на бисквитки до сайтове на трети страни се използва за вмъкване на приспособления на страниците, например за интегриране с YouTube или Facebook.
Използвайки атрибута SameSite, можете да контролирате поведението при задаване на бисквитки и позволяват изпращането на бисквитки само в отговор на заявки, инициирани от сайта, от който първоначално са получени тези бисквитки.
SameSite може да приеме три стойности „Strict“, „Lax“ и „None“.
В строг режим ("Строго")„Бисквитките“ не се изпращат за всякакъв вид заявки между сайтове, включително всички входящи връзки от външни сайтове.
В режим "Lax": Прилагат се по-меки ограничения и прехвърлянето на бисквитки е блокирано само за заявки между сайтове, като заявка за изображение или изтегляне на съдържание чрез вградена рамка.
Разграничението между "" Строг "и" Lax "се свежда до блокиране на бисквитки, когато се следва връзка.
Други промени
От другите предстоящи промени, очаквани за бъдещите версии на Chrome, предвижда се строг лимит, който да забрани обработката на бисквитки на трети страни за заявки без HTTPS (с атрибут SameSite = None, бисквитките могат да се задават само в безопасен режим).
Освен това се планира работа за защита срещу използването на пръстови отпечатъци в браузъра, включително методи за генериране на идентификатори, базирани на непреки данни като разделителна способност на екрана, списък на поддържаните MIME типове, специфични параметри в заглавките (HTTP / 2 и HTTPS), анализ на плъгини и инсталирани шрифтове.
Както и наличието на определени уеб API, Функции за рендиране на видеокарта, използващи WebGL и Canvas, CSS манипулации, анализ на характеристиките на мишката и клавиатурата.
Освен това Chrome ще има защита срещу lзлоупотреби, свързани с трудността с връщането към оригиналната страница след превключване към друг сайт (добро изпълнение, срещу сайтове, които ви пренасочват между страниците).
Говорим за практиката на насищане на историята на преобразуването с поредица от автоматични пренасочвания или изкуствено добавяне на фиктивни записи към историята на сърфирането (чрез pushState), в резултат на което потребителят не може да използва бутона «Назад», за да се върне. оригиналната страница след произволен преход или принудително препращане към сайт за измама.
За да се предпазите от подобни манипулации, Chrome в манипулатора на бутоните за връщане назад ще пропусне регистрационни файлове, свързани с автоматично пренасочване и ще манипулира историята на посещенията, оставяйки само страниците отворени с явни потребителски действия.
Fuente: https://blog.chromium.org/
И как точно е зададена бисквитката?