Google Chrome
Google oznámil zavedení budoucích změn v prohlížeči Chrome, jehož cílem je zlepšit soukromí. První část změn odkazuje na zacházení s cookies a podporu atributu SameSite.
Počínaje vydáním Chrome verze 76 (očekává se v červenci), bude aktivována značka „stejný-web-výchozí-soubory cookie“ že při absenci atributu SameSite v záhlaví Set-Cookie bude ve výchozím nastavení nastavena hodnota „SameSite = Lax“, což omezuje odesílání cookies.
U vložek webů třetích stran (ale weby budou i nadále moci odstranit omezení, samozřejmě nastavením SameSite = None při nastavování souboru cookie).
Atribut SameSite umožňuje webový prohlížeč (Chromium) definovat situace, ve kterých je přenos souborů cookie přijatelný když požadavek pochází z webu třetí strany.
Prohlížeč aktuálně odesílá soubory cookie na jakýkoli požadavek na web, pro který jsou soubory cookie nastaveny, a to i v případě, že je původně otevřen jiný web a volání je prováděno nepřímo stažením obrázku nebo pomocí prvku iframe.
O společnosti SameSite
Reklamní sítě používají tuto funkci ke sledování pohyb uživatelů mezi stránkami a útočníci organizovat útoky CSRF(Když je otevřen zdroj řízený útočníkem, požadavek je skrytý ze svých stránek na jiný web, kde je aktuální uživatel ověřen, a prohlížeč uživatele nastaví pro tento požadavek soubory cookie relace.)
Možnost odesílat soubory cookie webům třetích stran se naopak používá k vložení widgetů na stránky, například k integraci s YouTube nebo Facebookem.
Pomocí atributu SameSite můžete řídit chování při nastavování souborů cookie a povolit odesílání souborů cookie pouze v reakci na požadavky iniciované webem, ze kterého byly tyto soubory cookie původně přijaty.
SameSite může nabývat tří hodnot „Strict“, „Lax“ a „None“.
V přísném režimu ("Přísný")Soubory cookie se neposílají pro žádný typ požadavků mezi weby, včetně všech příchozích odkazů z externích webů.
V režimu "Laxní": Platí měkčí omezení a přenos souborů cookie je blokován pouze u požadavků mezi weby, jako je požadavek na obrázek nebo stahování obsahu prostřednictvím prvku iframe.
Rozdíl mezi „„ Strict “a„ Lax “spočívá v blokování cookies, když je použit odkaz.
Další změny
Z dalších nadcházejících změn očekávaných pro budoucí verze Chromu plánuje se uplatnit přísný limit, který zakazuje zpracování souborů cookie třetích stran pro požadavky bez HTTPS (s atributem SameSite = None, cookies lze nastavit pouze v nouzovém režimu).
Kromě toho se plánuje ochrana proti použití otisků prstů prohlížeče, včetně metod pro generování identifikátorů založených na nepřímých datech, jako je rozlišení obrazovky, seznam podporovaných typů MIME, specifické parametry v hlavičkách (HTTP / 2 a HTTPS), analýza zásuvných modulů a nainstalovaných písem.
Stejně jako dostupnost určitých webových API„Funkce vykreslování specifické pro grafickou kartu pomocí WebGL a Canvas, manipulace s CSS, analýza vlastností myši a klávesnice.
Kromě toho bude mít Chrome ochranu proti lzneužívání související s obtížnost návratu na původní stránku po přepnutí na jiný web (dobrá implementace, proti webům, které vás přesměrovávají mezi stránkami).
Mluvíme o praxi nasycení historie konverzí řadou automatických přesměrování nebo umělého přidávání fiktivních záznamů do historie procházení (přes pushState), v důsledku čehož se uživatel nemůže pomocí tlačítka «Zpět» vrátit zpět. původní stránka po náhodném přechodu nebo vynuceném přeposlání na podvodný web.
K ochraně před takovými manipulacemi Chrome v obslužném programu tlačítka Zpět přeskočí protokoly spojené s automatickým přeposíláním a manipulací historie návštěv, přičemž zůstávají otevřené pouze stránky s explicitními akcemi uživatelů.
zdroj: https://blog.chromium.org/
A jak přesně je soubor cookie nastaven?