Chrome beskytter mod overførsel af tredjepartscookies og skjult identifikation

Google Chrome

Google Chrome

Google har annonceret indførelsen af ​​fremtidige ændringer til Chrome, der har til formål at forbedre privatlivets fred. Den første del af ændringerne henviser til håndtering af cookies og understøttelsen af ​​SameSite-attributten.

Startende med frigivelsen af ​​Chrome version 76 (forventes i juli),  mærket "samme-site-som-standard-cookies" aktiveres at i fravær af SameSite-attributten i Set-Cookie-headeren, vil værdien "SameSite = Lax" blive indstillet som standard, hvilket begrænser afsendelsen af ​​cookies.

For webstedsindsatser fra tredjepart (men websteder vil stadig være i stand til at fjerne begrænsningen, selvfølgelig ved at indstille SameSite = Ingen, når du indstiller cookien).

Attribut SameSite tillader webbrowseren (Chromium) definere situationer, hvor overførsel af cookies er acceptabel når en anmodning kommer fra et tredjepartswebsted.

I øjeblikket sender browseren cookies på en hvilken som helst anmodning til det sted, som cookies er indstillet til, selvom et andet websted oprindeligt åbnes, og opkaldet foretages indirekte ved at downloade et billede eller bruge en iframe.

Om SameSite

Annoncenetværk bruger denne funktion til at spore bevægelse af brugere mellem websteder og angribere til at organisere CSRF-angreb(Når en hackerstyret ressource åbnes, skjules en anmodning fra sine sider til et andet websted, hvor den aktuelle bruger er godkendt, og brugerens browser indstiller sessionscookies til denne anmodning.)

På den anden side bruges muligheden for at sende cookies til tredjepartswebsteder til at indsætte widgets på siderne, for eksempel til at integrere med YouTube eller Facebook.

Ved at bruge SameSite-attributten kan du kontrollere adfærden, når du indstiller cookies og kun tillade afsendelse af cookies som svar på anmodninger, der er startet fra det websted, hvorfra disse cookies oprindeligt blev modtaget.

SameSite kan tage tre værdier "Strict", "Lax" og "None".

I streng tilstand ("Streng")Cookies sendes ikke til nogen form for anmodninger på tværs af websteder, herunder alle indgående links fra eksterne websteder.

I tilstand "Lax": Blødere begrænsninger gælder, og overførsel af cookie er kun blokeret for anmodninger på tværs af websteder, såsom en billedanmodning eller download af indhold via en iframe.

Sondringen mellem "" Streng "og" Lax "kommer til at blokere cookies, når et link følges.

Andre ændringer

Af de andre kommende ændringer, der forventes for fremtidige versioner af Chrome, det er planlagt at anvende en streng grænse, der forbyder behandling af tredjepartscookies for ikke-HTTPS-anmodninger (med attributten SameSite = Ingen kan cookies kun indstilles i fejlsikret tilstand).

Derudover er der planlagt arbejde for at beskytte mod brugen af ​​browserens fingeraftryk, herunder metoder til generering af identifikatorer baseret på indirekte data såsom skærmopløsning, en liste over understøttede MIME-typer, specifikke parametre i overskrifterne (HTTP / 2 og HTTPS), analyse af plugins og installerede skrifttyper.

Samt tilgængeligheden af ​​visse web-API'er, Grafikkortspecifikke gengivelsesfunktioner ved hjælp af WebGL og Canvas, CSS-manipulationer, analyse af mus- og tastaturegenskaber.

Derudover har Chrome beskyttelse mod lmisbrug forbundet med vanskeligheden ved at vende tilbage til den originale side efter at have skiftet til et andet websted (en god implementering mod sider, der omdirigerer dig mellem sider).

Vi taler om den praksis at mætte konverteringshistorikken med en række automatiske omdirigeringer eller kunstigt tilføje dummy-poster til browserhistorikken (via pushState), hvilket resulterer i, at brugeren ikke kan bruge knappen "Tilbage" til at vende tilbage. den originale side efter en tilfældig overgang eller tvungen genindsendelse til et fiduswebsted.

For at beskytte mod sådanne manipulationer Chrome i bagknappshåndtereren springer logfiler, der er forbundet med automatisk videresendelse, og besøger historikmanipulationog efterlader kun siderne åbne med eksplicit brugerhandling.

kilde: https://blog.chromium.org/


En kommentar, lad din

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   Pablo sagde han

    Og nøjagtigt hvordan er cookiesættet?