Google Chrome
Google hat die Einführung zukünftiger Änderungen an Chrome angekündigt, soll die Privatsphäre verbessern. Die erste Teil der Änderungen bezieht sich auf den Umgang mit Cookies und die Unterstützung des SameSite-Attributs.
Ab der Veröffentlichung von Chrome Version 76 (voraussichtlich im Juli), Die Marke "Same-Site-by-Default-Cookies" wird aktiviert Wenn das SameSite-Attribut im Set-Cookie-Header nicht vorhanden ist, wird standardmäßig der Wert "SameSite = Lax" festgelegt, wodurch das Senden von Cookies eingeschränkt wird.
Für Site-Einfügungen von Drittanbietern (Websites können die Einschränkung jedoch weiterhin aufheben, indem sie beim Setzen des Cookies offensichtlich SameSite = None festlegen).
Attribut SameSite erlaubt den Webbrowser (Chrom) Definieren Sie Situationen, in denen die Übertragung von Cookies akzeptabel ist wenn eine Anfrage von einer Website eines Drittanbieters kommt.
Derzeit sendet der Browser Cookies auf Anfrage an die Site, für die Cookies gesetzt werden, auch wenn eine andere Site zum ersten Mal geöffnet wird und der Anruf indirekt durch Herunterladen eines Bildes oder Verwenden eines Iframes erfolgt.
Über SameSite
Werbenetzwerke verwenden diese Funktion zum Verfolgen die Bewegung von Benutzern zwischen Websites und Angreifer, um CSRF-Angriffe zu organisieren(Wenn eine vom Angreifer kontrollierte Ressource geöffnet wird, wird eine Anforderung von ihren Seiten zu einer anderen Site ausgeblendet, auf der der aktuelle Benutzer authentifiziert ist, und der Browser des Benutzers setzt Sitzungscookies für diese Anforderung.)
Andererseits wird die Möglichkeit, Cookies an Websites von Drittanbietern zu senden, verwendet, um Widgets auf den Seiten einzufügen, beispielsweise um sie in YouTube oder Facebook zu integrieren.
Mithilfe des SameSite-Attributs können Sie das Verhalten beim Setzen von Cookies steuern und erlauben das Senden von Cookies nur als Antwort auf Anfragen, die von der Site initiiert wurden, von der diese Cookies ursprünglich empfangen wurden.
SameSite kann drei Werte annehmen: "Strict", "Lax" und "None".
Im strengen Modus ("Streng")Cookies werden nicht für standortübergreifende Anfragen gesendet, einschließlich aller eingehenden Links von externen Websites.
Im Modus "Lax": Es gelten strengere Einschränkungen, und die Übertragung von Cookies wird nur für standortübergreifende Anforderungen wie Bildanfragen oder das Herunterladen von Inhalten über einen Iframe blockiert.
Die Unterscheidung zwischen "Strict" und "Lax" besteht darin, Cookies zu blockieren, wenn einem Link gefolgt wird.
Andere Änderungen
Von den anderen bevorstehenden Änderungen, die für zukünftige Versionen von Chrome erwartet werden, Es ist geplant, ein striktes Limit anzuwenden, das die Verarbeitung von Cookies von Drittanbietern verbietet Für Anforderungen ohne HTTPS (mit dem Attribut SameSite = None können Cookies nur im abgesicherten Modus gesetzt werden).
Darüber hinaus sind Arbeiten zum Schutz vor der Verwendung von Browser-Fingerabdrücken geplant, einschließlich Methoden zum Generieren von Kennungen basierend auf indirekten Daten wie Bildschirmauflösung, einer Liste der unterstützten MIME-Typen, spezifischen Parametern in den Headern (HTTP / 2 und HTTPS), Analyse von Plugins und installierten Schriftarten.
Sowie die Verfügbarkeit bestimmter Web-APIs, Grafikkartenspezifische Rendering-Funktionen mit WebGL und Canvas, CSS-Manipulationen, Analyse der Maus- und Tastaturmerkmale.
Darüber hinaus wird Chrome vor l geschütztMissbräuche im Zusammenhang mit die Schwierigkeit, zur ursprünglichen Seite zurückzukehren nach dem Wechsel zu einer anderen Site (eine gute Implementierung für Sites, die Sie zwischen Seiten umleiten).
Wir sprechen über die Praxis, den Conversion-Verlauf mit einer Reihe von automatischen Weiterleitungen zu sättigen oder dem Browserverlauf künstlich Dummy-Einträge hinzuzufügen (über pushState), weshalb der Benutzer die Schaltfläche «Zurück» nicht verwenden kann, um zu zurückkehren die Originalseite nach einem zufälligen Übergang oder einer erzwungenen Weiterleitung an eine Betrugsseite.
Zum Schutz vor solchen Manipulationen Chrome im Handler für die Schaltfläche "Zurück" überspringt Protokolle, die mit der automatischen Weiterleitung und der Manipulation des Besuchsverlaufs verbunden sindDabei bleiben nur die Seiten mit expliziten Benutzeraktionen geöffnet.
Quelle: https://blog.chromium.org/
Und wie genau ist das Cookie gesetzt?