Google Chrome
Google je najavio uvođenje budućih promjena u Chrome, namijenjen poboljšanju privatnosti. Prvi dio promjena odnosi se na rukovanje kolačićima i podršku atributa SameSite.
Počevši od izdavanja Chrome verzije 76 (očekuje se u srpnju), aktivirat će se marka "iste web stranice prema zadanim postavkama" da će, u nedostatku atributa SameSite u zaglavlju Set-Cookie, zadana vrijednost biti postavljena "SameSite = Lax", što ograničava slanje kolačića.
Za umetke web lokacija treće strane (ali web lokacije će i dalje moći ukloniti ograničenje, očito postavljanjem SameSite = None prilikom postavljanja kolačića).
Atribut SameSite omogućuje web preglednik (Krom) definirati situacije u kojima je prijenos kolačića prihvatljiv kada zahtjev dolazi sa stranice treće strane.
Trenutno preglednik šalje kolačiće na bilo koji zahtjev web mjestu za koje su postavljeni kolačići, čak i ako je druga web stranica inicijalno otvorena, a poziv se upućuje neizravno preuzimanjem slike ili upotrebom iframea.
O SameSiteu
Oglasne mreže koriste ovu značajku za praćenje kretanje korisnika između web mjesta i napadači da organiziraju CSRF napade(Kada se otvori resurs kojim upravlja napadač, zahtjev se sa svojih stranica skriva na drugo mjesto na kojem je trenutni korisnik autentificiran, a korisnikov preglednik postavlja kolačiće sesije za taj zahtjev.)
S druge strane, mogućnost slanja kolačića na web stranice trećih strana koristi se za umetanje widgeta na stranice, na primjer za integraciju s YouTubeom ili Facebookom.
Korištenjem atributa SameSite možete kontrolirati ponašanje prilikom postavljanja kolačića i dopuštaju slanje kolačića samo kao odgovor na zahtjeve pokrenute s web mjesta s kojeg su ti kolačići izvorno primljeni.
SameSite može uzeti tri vrijednosti "Strict", "Lax" i "None".
U strogom načinu ("Strog")- Kolačići se ne šalju za bilo koju vrstu zahtjeva za više web lokacija, uključujući sve ulazne veze s vanjskih stranica.
U načinu rada "Lax": Primjenjuju se blaža ograničenja, a prijenos kolačića blokiran je samo za zahtjeve s više web lokacija, poput zahtjeva za slikom ili preuzimanja sadržaja putem iframe-a.
Razlika između "" Strogo "i" Lax "svodi se na blokiranje kolačića kada se slijedi veza.
Ostale promjene
Od ostalih nadolazećih promjena koje se očekuju za buduće verzije Chromea, planira se primijeniti strogo ograničenje koje zabranjuje obradu kolačića treće strane za zahtjeve koji nisu HTTPS (s atributom SameSite = None, kolačići se mogu postaviti samo u sigurnom načinu).
Osim toga, planira se raditi na zaštiti od upotrebe otiska prsta u pregledniku, uključujući metode za generiranje identifikatora na temelju neizravnih podataka poput razlučivosti zaslona, popisa podržanih MIME vrsta, specifičnih parametara u zaglavljima (HTTP / 2 i HTTPS), analize dodataka i instaliranih fontova.
Kao i dostupnost određenih web API-ja, Funkcije prikazivanja specifične za grafičke kartice pomoću WebGL-a i Canvas-a, CSS manipulacije, analiza karakteristika miša i tipkovnice.
Uz to, Chrome će imati zaštitu protiv lzlouporabe povezane s poteškoća povratka na izvornu stranicu nakon prelaska na drugo mjesto (dobra implementacija, protiv web mjesta koja vas preusmjeravaju između stranica).
Govorimo o praksi zasićenja povijesti pretvorbe nizom automatskih preusmjeravanja ili umjetnim dodavanjem lažnih unosa u povijest pregledavanja (putem pushState), što rezultira time da korisnik ne može koristiti gumb «Natrag» za povratak. originalna stranica nakon slučajnog prijelaza ili prisilnog prosljeđivanja na web stranicu prijevare.
Da bi se zaštitili od takvih manipulacija, Chrome u upravljaču gumbom za povratak preskočit će zapisnike povezane s automatskim prosljeđivanjem i manipulirati poviješću posjeta, ostavljajući otvorene samo stranice s eksplicitnim radnjama korisnika.
izvor: https://blog.chromium.org/
I točno kako se postavlja kolačić?