Chrome protegirà contra la transferència de galetes de tercers i identificació oculta

Darkcrizt

4 minuts

Google Chrome

Google Chrome

Google ha donat a conèixer la introducció dels canvis futurs en Chrome, Destinats a millorar la privacitat. La primera part dels canvis es refereix a l'ús de galetes i a el suport de l'atribut SameSite.

A partir del llançament de la versió de Chrome 76 (Que s'espera per al juliol),  s'activarà la marca «same-site-by-default-galetes» que, en absència de l'atribut SameSite a la capçalera Set-Cookie, s'establirà per defecte el valor «SameSite = Lax» que limita l'enviament de galetes.

Per insercions de llocs de tercers (però els llocs encara podran eliminar la restricció, òbviament configurant SameSite = None a l'configurar la galeta).

l'atribut SameSite li permet el navegador web (Chrome) definir situacions en què la transferència de galetes és acceptable quan una sol·licitud prové d'un lloc de tercers.

Actualment, el navegador envia Galetes a qualsevol sol·licitud a el lloc per al qual hi ha galetes establertes, fins i tot si s'obre inicialment un altre lloc i la trucada es realitza indirectament mitjançant la descàrrega d'una imatge o mitjançant un iframe.

sobre SameSite

Les xarxes publicitàries utilitzen aquesta funció per rastrejar el moviment d'usuaris entre llocs i els atacants per organitzar atacs CSRF(Quan s'obre un recurs controlat per un atacant, una sol·licitud s'amaga de les seves pàgines a un altre lloc en el qual s'autentica a l'usuari actual, i el navegador d'l'usuari configura galetes de sessió per a aquesta sol·licitud).

D'altra banda, la capacitat d'enviar galetes a llocs de tercers s'utilitza per inserir ginys a les pàgines, per exemple, per integrar-se amb YouTube o Facebook.

A l'usar l'atribut SameSite, es pot controlar el comportament a l'configurar les galetes i permetre l'enviament de galetes només en resposta a les sol·licituds iniciades des del lloc des del qual es van rebre originalment aquestes galetes.

SameSite pot prendre tres valors «Strict», «Lax» i «None».

En la manera estricte ( «Strict»): Les galetes no s'envien per cap tipus de sol·licituds entre llocs, inclosos tots els enllaços de llocs externs.

En la manera "Lax": s'apliquen restriccions més suaus i la transferència de cookies només es bloqueja per a les sol·licituds creuades entre llocs, com una sol·licitud d'imatge o la descàrrega de contingut a través d'un iframe.

La distinció entre «» Strict »i« Lax »es redueix a bloquejar les cookies quan se segueix un enllaç.

altres canvis

Dels altres propers canvis que s'esperen per a futures versions de Chrome, es planeja aplicar un límit estricte que prohibeixi el processament de galetes de tercers per a sol·licituds sense HTTPS (amb l'atribut SameSite = None, les galetes només es poden configurar en mode Segur).

A més, està previst dur a terme treballs per protegir-se contra l'ús de la identificació oculta ( «browser fingerprinting»), inclosos els mètodes per generar identificadors basats en dades indirectes, com la resolució de pantalla, una llista de tipus MIME compatibles, paràmetres específics en les capçaleres (HTTP / 2 i HTTPS), anàlisi de complements i fonts instal·lats.

Així com la disponibilitat de certes API web, Funcions de representació específiques de la targeta de vídeo usant WebGL i Canvas, manipulacionesCon CSS, anàlisi de les característiques de l'ratolí i teclat.

A més, a Chrome se li afegirà protecció contra lus abusos associats amb la dificultat de tornar a la pàgina original després de canviar a un altre lloc (una bona implementació, contra llocs que et redirigeixen entre pàgines).

Estem parlant de la pràctica de saturar l'historial de conversió amb una sèrie de redireccions automàtiques o afegir artificialment entrades fictícies a l'historial de navegació (a través d'pushState), com a resultat de la qual cosa l'usuari no pot fer servir el botó «Enrere» per tornar a la pàgina original després d'una transició aleatòria o una reexpedició forçat a un lloc d'estafa.

Per protegir-se contra tals manipulacions, Chrome al controlador de el botó Enrere ometre els registres associats amb el reenviament automàtic i la manipulació de l'historial de visites, Deixant només les pàgines obertes amb accions explícites de l'usuari.

font: https://blog.chromium.org/


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   pablo va dir
    fa 4 anys

    I exactament com es configura la galeta?

    Respondre a pablo