Google Chrome
Google teatas Chrome'i tulevaste muudatuste kasutuselevõtust, mis on mõeldud privaatsuse parandamiseks. Esimene osa muudatustest viitab küpsiste käitlemisele ja atribuudi SameSite toele.
Alates Chrome'i versiooni 76 väljaandmisest (eeldatavasti juulis), aktiveeritakse kaubamärk "sama saidi vaikimisi küpsised" et atribuudi SameSite puudumisel päises Set-Cookie määratakse vaikimisi väärtus "SameSite = Lax", mis piirab küpsiste saatmist.
Kolmandate osapoolte saidilehtede jaoks (kuid saidid saavad siiski piirangu eemaldada, seadistades küpsise seadistamisel ilmselt SameSite = Puudub).
Atribuut SameSite lubab veebibrauserit (Chromium) määratleda olukorrad, kus küpsiste edastamine on vastuvõetav kui päring tuleb kolmanda osapoole saidilt.
Praegu saadab brauser küpsised iga päringu korral saidile, millele küpsised on määratud, isegi kui algselt avatakse mõni teine sait ja kõne tehakse kaudselt pildi allalaadimisega või iframe'i abil.
Teave SameSite'i kohta
Reklaamivõrgustikud kasutavad seda funktsiooni jälgimiseks kasutajate liikumine saitide vahel ja ründajad korraldama CSRF-i rünnakuid(Kui ründaja juhitav ressurss avatakse, peidetakse päring selle lehtedelt teisele saidile, kus praegune kasutaja on autentitud, ja kasutaja brauser määrab selle päringu jaoks seansiküpsised.)
Teisalt kasutatakse küpsiste saatmist kolmandate osapoolte saitidele lehtedele vidinate lisamiseks, näiteks YouTube'i või Facebookiga integreerimiseks.
Atribuudi SameSite abil saate küpsiste seadistamisel käitumist juhtida ja lubada küpsiste saatmist ainult vastusena päringutele, mis on algatatud saidilt, kust need küpsised algselt saadi.
SameSite võib võtta kolm väärtust: "Range", "Lax" ja "Puudub".
Ranges režiimis ("Range")- Küpsiseid ei saadeta mis tahes tüüpi saitidevaheliste päringute korral, sealhulgas kõigi väliste saitide sissetulevate linkide kohta.
Režiimis "Lax": Kehtivad pehmemad piirangud ja küpsiste edastamine on blokeeritud ainult saitidevaheliste taotluste korral, näiteks pilditaotluse või sisu allalaadimise kohta iframe'i kaudu.
"" Range "ja" Lax "eristamine taandub küpsiste blokeerimisele, kui linki järgitakse.
Muud muudatused
Chrome'i tulevaste versioonide jaoks oodatavatest muudest muudatustest kolmandate osapoolte küpsiste töötlemise keelamiseks on kavandatud range piirang HTTPSita päringute korral (atribuudiga SameSite = Puudub, küpsiseid saab seada ainult turvarežiimis).
Lisaks on kavas kaitsta brauseri sõrmejälgede kasutamist, sealhulgas kaudsetel andmetel põhinevate identifikaatorite genereerimise meetodid, näiteks ekraani eraldusvõime, toetatud MIME tüüpide loend, päiste konkreetsed parameetrid (HTTP / 2 ja HTTPS), analüüs pistikprogrammide ja installitud fontide kohta.
Nagu ka teatud veebi API-de kättesaadavus, Videokaardi spetsiifilised renderdamisfunktsioonid WebGL ja Canvas abil, CSS-i manipulatsioonid, hiire ja klaviatuuri omaduste analüüs.
Lisaks kaitseb Chrome l-i eest-ga seotud kuritarvitused algsele lehele naasmise raskused pärast teisele saidile üleminekut (hea juurutus saitide vastu, mis suunavad teid lehtede vahel ümber).
Me räägime konversiooniajaloo küllastamisest automaatse ümbersuunamise seeriaga või kunstliku kirjete lisamisega sirvimisajalukku (pushState'i kaudu), mille tagajärjel ei saa kasutaja naasta nuppu "Tagasi". algne leht pärast juhuslikku üleminekut või sunnitud edastamist kelmuse saidile.
Selliste manipulatsioonide eest kaitsmiseks Tagumise nupu töötleja Chrome jätab automaatse edastamise logid vahele ja külastab ajaloo manipuleerimist, jättes avatuks ainult selgesõnalise kasutaja toimingutega lehed.
allikas: https://blog.chromium.org/
Ja kuidas täpselt küpsis on seatud?