Google Chrome
Google on ilmoittanut tulevista muutoksista Chromeen, jonka tarkoituksena on parantaa yksityisyyttä. Ensimmäinen osa muutoksista viittaa evästeiden käsittelyyn ja SameSite-määritteen tukemiseen.
Aloitetaan Chrome-version 76 julkaisemisesta (odotettavissa heinäkuussa), tuotemerkki "same-site-by-default-cookies" aktivoidaan että jos Set-Cookie-otsikossa ei ole SameSite-määritettä, oletusarvoisesti asetetaan arvo "SameSite = Lax", mikä rajoittaa evästeiden lähettämistä.
Kolmannen osapuolen sivustolisäosat (mutta sivustot pystyvät silti poistamaan rajoituksen ilmeisesti asettamalla SameSite = Ei mitään evästettä asetettaessa).
Attribuutti SameSite sallii verkkoselaimen (Kromi) määritellä tilanteet, joissa evästeiden siirto on hyväksyttävää kun pyyntö tulee kolmannen osapuolen sivustolta.
Tällä hetkellä selain lähettää evästeet pyynnöstä sivustolle, jolle evästeet on asetettu, vaikka toinen sivusto avataan alun perin ja puhelu soitetaan epäsuorasti lataamalla kuva tai käyttämällä iframe-kehystä.
Tietoja SameSite-sivustosta
Mainosverkostot käyttävät tätä ominaisuutta seuratakseen käyttäjien liikkuminen sivustojen välillä ja hyökkääjät järjestämään CSRF-hyökkäyksiä(Kun hyökkääjän hallitsema resurssi avataan, pyyntö piilotetaan sen sivuilta toiselle sivustolle, jossa nykyinen käyttäjä todennetaan, ja käyttäjän selain asettaa istuntoevästeet kyseiselle pyynnölle.)
Toisaalta kykyä lähettää evästeitä kolmannen osapuolen sivustoille käytetään widgetien lisäämiseen sivuille, esimerkiksi integroitumiseen YouTubeen tai Facebookiin.
SameSite-määritteen avulla voit hallita käyttäytymistä evästeitä asetettaessa ja sallia evästeiden lähettämisen vain vastauksena pyyntöihin sivustolta, jolta nämä evästeet alun perin vastaanotettiin.
SameSite voi ottaa kolme arvoa "Strict", "Lax" ja "None".
Tiukassa tilassa ("Tiukka")Evästeitä ei lähetetä minkään tyyppisiin sivustojen välisiin pyyntöihin, mukaan lukien kaikki ulkoisten sivustojen saapuvat linkit.
Tilassa "Lax": Pehmeämpiä rajoituksia sovelletaan ja evästeiden siirto estetään vain sivustojen välisistä pyynnöistä, kuten kuvapyynnöstä tai sisällön lataamisesta iframe-kehyksen kautta.
"Tiukan" ja "Laxin" ero johtuu evästeiden estämisestä, kun linkkiä seurataan.
Muut muutokset
Muista tulevista Chrome-versioista odotettavissa olevista muutoksista Kolmansien osapuolien evästeiden käsittely on kielletty tiukalla rajoituksella pyynnöille, joissa ei ole HTTPS: ää (attribuutilla SameSite = Ei mitään, evästeet voidaan asettaa vain vikasietotilassa).
Lisäksi suunnitellaan suojaa selaimen sormenjälkien käytöstä, mukaan lukien menetelmät tunnisteiden luomiseksi epäsuoraan dataan, kuten näytön tarkkuus, luettelo tuetuista MIME-tyypeistä, otsikoissa olevat erityiset parametrit (HTTP / 2 ja HTTPS), analyysi laajennuksia ja asennettuja fontteja.
Samoin kuin tiettyjen web-sovellusliittymien saatavuus, Videokorttikohtaiset renderointitoiminnot WebGL: n ja Canvasin avulla, CSS-manipuloinnit, hiiren ja näppäimistön ominaisuuksien analysointi.
Lisäksi Chrome suojaa l: tä vastaanliittyviin väärinkäytöksiin alkuperäiselle sivulle palaamisen vaikeus toiseen sivustoon siirtymisen jälkeen (hyvä toteutus sivustoja vastaan, jotka ohjaavat sinut sivujen välillä).
Puhumme käytännöstä kyllästää muuntohistoria automaattisilla uudelleenohjauksilla tai lisätä nuken merkinnät keinotekoisesti selaushistoriaan (pushStateen kautta), minkä seurauksena käyttäjä ei voi palata «Takaisin» -painikkeella. alkuperäinen sivu satunnaisen siirtymisen tai pakotetun edelleenlähetyksen jälkeen huijaussivustolle.
Suojautuaksesi tällaisilta manipulaatioilta, Takaisin-painikkeen käsittelijä Chrome ohittaa automaattiseen edelleenlähetykseen ja vierailuhistorian käsittelyyn liittyvät lokit, jolloin vain sivut jäävät avoimiksi, ja niissä on nimenomaisia käyttäjän toimia.
lähde: https://blog.chromium.org/
Ja miten eväste asetetaan?