Chrome protégera contre le transfert de cookies tiers et l'identification cachée

Darkcrizt

Minutes 4

Google Chrome

Google Chrome

Google a annoncé l'introduction de futures modifications dans Chrome, destiné à améliorer la confidentialité. La première une partie des changements fait référence à la gestion des cookies et à la prise en charge de l'attribut SameSite.

À partir de la sortie de la version 76 de Chrome (prévu en juillet),  la marque "même-site-par-défaut-cookies" sera activée qu'en l'absence de l'attribut SameSite dans l'en-tête Set-Cookie, la valeur "SameSite = Lax" sera définie par défaut, ce qui limite l'envoi de cookies.

Pour les insertions de sites tiers (mais les sites pourront toujours supprimer la restriction, évidemment en définissant SameSite = None lors de la configuration du cookie).

Attribut SameSite autorise le navigateur Web (chrome) définir les situations dans lesquelles le transfert de cookies est acceptable lorsqu'une demande provient d'un site tiers.

Actuellement, le navigateur envoie des cookies sur toute demande au site pour lequel des cookies sont définis, même si un autre site est initialement ouvert et que l'appel est effectué indirectement en téléchargeant une image ou en utilisant un iframe.

À propos de SameSite

Les réseaux publicitaires utilisent cette fonctionnalité pour suivre le mouvement des utilisateurs entre les sites et les attaquants pour organiser des attaques CSRF(Lorsqu'une ressource contrôlée par un attaquant est ouverte, une demande est masquée de ses pages vers un autre site où l'utilisateur actuel est authentifié, et le navigateur de l'utilisateur définit des cookies de session pour cette demande.)

D'autre part, la possibilité d'envoyer des cookies à des sites tiers est utilisée pour insérer des widgets sur les pages, par exemple, pour les intégrer à YouTube ou Facebook.

En utilisant l'attribut SameSite, vous pouvez contrôler le comportement lors de la configuration des cookies et autoriser l'envoi de cookies uniquement en réponse aux demandes initiées depuis le site à partir duquel ces cookies ont été initialement reçus.

SameSite peut prendre trois valeurs "Strict", "Lax" et "None".

En mode strict ("Strict")- Les cookies ne sont envoyés pour aucun type de demandes intersites, y compris tous les liens entrants provenant de sites externes.

En mode "Relâché": Des restrictions plus douces s'appliquent et le transfert de cookies n'est bloqué que pour les demandes intersites telles qu'une demande d'image ou le téléchargement de contenu via une iframe.

La distinction entre «Strict» et «Lax» revient à bloquer les cookies lorsqu'un lien est suivi.

Autres changements

Parmi les autres changements à venir attendus pour les futures versions de Chrome, une limite stricte est prévue pour interdire le traitement des cookies tiers pour les demandes sans HTTPS (avec l'attribut SameSite = None, les cookies ne peuvent être définis qu'en mode sans échec).

En outre, des travaux sont prévus pour se prémunir contre l'utilisation des empreintes digitales du navigateur, y compris des méthodes de génération d'identifiants basés sur des données indirectes telles que la résolution d'écran, une liste des types MIME pris en charge, des paramètres spécifiques dans les en-têtes (HTTP / 2 et HTTPS), une analyse des plugins et des polices installées.

Ainsi que la disponibilité de certaines API Web, Fonctions de rendu spécifiques à la carte vidéo utilisant WebGL et Canvas, manipulations CSS, analyse des caractéristiques de la souris et du clavier.

De plus, Chrome aura une protection contre labus associés à la difficulté de revenir à la page d'origine après avoir basculé vers un autre site (une bonne implémentation, contre les sites qui vous redirigent entre les pages).

Nous parlons de la pratique consistant à saturer l'historique de conversion avec une série de redirections automatiques ou à ajouter artificiellement des entrées factices à l'historique de navigation (via pushState), de sorte que l'utilisateur ne peut pas utiliser le bouton "Retour" pour revenir. la page d'origine après une transition aléatoire ou un transfert forcé vers un site frauduleux.

Pour se protéger contre de telles manipulations, Chrome dans le gestionnaire du bouton Précédent ignorera les journaux associés au transfert automatique et à la manipulation de l'historique des visites, ne laissant que les pages ouvertes avec des actions utilisateur explicites.

source: https://blog.chromium.org/


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   pablo dit
    il ya 4 ans.

    Et exactement comment le cookie est-il défini?

    Répondre à pablo