Chrome će zaštititi od prijenosa kolačića treće strane i skrivene identifikacije

Google Chrome

Google Chrome

Google je najavio uvođenje budućih promjena u Chrome, namijenjen poboljšanju privatnosti. Prva dio promjena odnosi se na rukovanje kolačićima i podršku atributa SameSite.

Počevši od izlaska Chrome verzije 76 (očekuje se u julu),  aktivirat će se marka "cookieji prema zadanim postavkama iste stranice" da će, u nedostatku atributa SameSite u zaglavlju Set-Cookie, zadana vrijednost biti postavljena "SameSite = Lax", što ograničava slanje kolačića.

Za umetke web lokacija treće strane (ali web lokacije će i dalje moći ukloniti ograničenje, očito postavljanjem SameSite = None prilikom postavljanja kolačića).

Atribut SameSite omogućava web pretraživač (hrom) definirati situacije u kojima je prijenos kolačića prihvatljiv kada zahtjev dolazi sa stranice treće strane.

Trenutno pregledač šalje kolačiće na bilo koji zahtjev web lokaciji za koju su postavljeni kolačići, čak i ako je druga web lokacija inicijalno otvorena i poziv se upućuje indirektno preuzimanjem slike ili pomoću iframe-a.

O SameSiteu

Oglasne mreže koriste ovu funkciju za praćenje kretanje korisnika između web lokacija i napadači da organiziraju CSRF napade(Kada se otvori resurs kojim upravlja napadač, zahtjev se sa svojih stranica sakrije na drugu web lokaciju na kojoj je trenutni korisnik ovjeren, a korisnikov preglednik postavlja kolačiće sesije za taj zahtjev.)

S druge strane, mogućnost slanja kolačića na web stranice nezavisnih proizvođača koristi se za umetanje dodataka na stranice, na primjer, za integraciju s YouTubeom ili Facebookom.

Korištenjem atributa SameSite možete kontrolirati ponašanje prilikom postavljanja kolačića i dopustiti slanje kolačića samo kao odgovor na zahtjeve pokrenute s web stranice s koje su ti kolačići izvorno primljeni.

SameSite može uzeti tri vrijednosti "Strict", "Lax" i "None".

U strogom režimu ("Strogo")Kolačići se ne šalju za bilo koju vrstu zahtjeva za više web lokacija, uključujući sve ulazne veze s vanjskih stranica.

U modu "Lax": Primjenjuju se mekša ograničenja, a prijenos kolačića blokiran je samo za zahtjeve s više web lokacija, poput zahtjeva za slikom ili preuzimanja sadržaja putem iframe-a.

Razlika između "" Strogo "i" Lax "svodi se na blokiranje kolačića kada se slijedi veza.

Ostale promjene

Od ostalih predstojećih promjena koje se očekuju za buduće verzije Chromea, planira se strogo ograničenje zabrane obrade kolačića nezavisnih proizvođača za zahtjeve bez HTTPS-a (s atributom SameSite = None, kolačići se mogu postaviti samo u sigurnom načinu).

Pored toga, planira se rad na zaštiti od upotrebe otiska prsta u pregledniku, uključujući metode za generiranje identifikatora na osnovu neizravnih podataka kao što su razlučivost ekrana, popis podržanih MIME vrsta, specifični parametri u zaglavljima (HTTP / 2 i HTTPS), analiza dodataka i instaliranih fontova.

Kao i dostupnost određenih web API-ja, Funkcije prikazivanja specifične za grafičku karticu koristeći WebGL i Canvas, CSS manipulacije, analiza karakteristika miša i tastature.

Pored toga, Chrome će imati zaštitu protiv lzloupotrebe povezane sa poteškoće povratka na originalnu stranicu nakon prelaska na drugu web lokaciju (dobra implementacija, protiv web lokacija koje vas preusmjeravaju između stranica).

Govorimo o praksi zasićenja povijesti konverzija nizom automatskih preusmjeravanja ili umjetnim dodavanjem lažnih unosa u povijest pregledavanja (putem pushState), što rezultira time da korisnik ne može koristiti gumb «Natrag» za povratak. originalna stranica nakon slučajnog prijelaza ili prisilnog prosljeđivanja na web stranicu prijevare.

Da biste se zaštitili od takvih manipulacija, Chrome u rukovaocu gumbom za povratak preskočit će zapisnike povezane s automatskim prosljeđivanjem i manipulirati poviješću posjeta, ostavljajući otvorene samo stranice s eksplicitnim radnjama korisnika.

Izvor: https://blog.chromium.org/


Komentar, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   pablo rekao je

    A kako je točno postavljen kolačić?