Google Chrome
A Google bejelentette a Chrome jövőbeli változásainak bevezetését, célja a magánélet javítása. Az első a változások része a sütik kezelésére és a SameSite attribútum támogatására utal.
A 76-os Chrome verzió kiadásával kezdve (várhatóan júliusban), az "ugyanazon a helyszínen-alapértelmezetten cookie-k" márka aktiválódik hogy a Set-Cookie fejlécben a SameSite attribútum hiányában alapértelmezés szerint a "SameSite = Lax" értéket állítja be, ami korlátozza a sütik küldését.
Harmadik fél webhelybeillesztései (de a webhelyek továbbra is képesek lesznek eltávolítani a korlátozást, nyilvánvalóan a SameSite = None beállításával a cookie beállításakor).
Tulajdonság A SameSite lehetővé teszi a webböngésző használatát (Króm) meghatározza azokat a helyzeteket, amelyekben a sütik továbbítása elfogadható amikor egy kérés érkezik egy harmadik fél webhelyéről.
Jelenleg a böngésző minden kérésre elküldi a sütiket annak a webhelynek, amelyre a sütiket beállították, még akkor is, ha eredetileg egy másik webhelyet nyitnak meg, és a hívás közvetett módon történik kép letöltésével vagy iframe használatával.
A SameSite-ről
A hirdetési hálózatok ezt a funkciót használják a követéshez a felhasználók mozgása az oldalak között támadók pedig CSRF-támadások megszervezésére(A támadó által vezérelt erőforrás megnyitásakor egy kérés el van rejtve az oldalairól egy másik webhelyre, ahol az aktuális felhasználót hitelesítik, és a felhasználó böngészője munkamenet-sütiket állít be a kéréshez.)
Másrészt a cookie-k küldését harmadik fél webhelyeire widgetek beszúrására használják az oldalakra, például a YouTube-hoz vagy a Facebookhoz való integrációhoz.
A SameSite attribútum használatával szabályozhatja a sütik beállításának viselkedését és engedélyezzük a cookie-k küldését csak válaszként azokra a webhelyekre irányuló kérésekre, amelyekről ezeket a sütiket eredetileg kapták.
A SameSite három értéket vehet fel: "Szigorú", "Lax" és "Nincs".
Szigorú módban ("Szigorú")- A cookie-k nem küldenek semmiféle webhelyközi kérést, ideértve a külső webhelyekről érkező összes bejövő linket is.
Üzemmódban "Laza": Lágyabb korlátozások vannak érvényben, és a cookie-k átvitele csak olyan webhelyek közötti kérések esetén van blokkolva, mint például képigénylés vagy tartalom letöltése iframe-en keresztül.
A "Strict" és a "Lax" megkülönböztetése a cookie-k blokkolására utal, ha egy linket követnek.
Egyéb változások
A Chrome jövőbeli verzióihoz várható többi várható változás közül szigorú korlátozást terveznek alkalmazni, amely tiltja a harmadik féltől származó sütik feldolgozását HTTPS nélküli kérések esetén (a SameSite = Nincs attribútummal a sütik csak csökkentett módban állíthatók be).
Ezen túlmenően a böngésző ujjlenyomatának használatával szembeni védelmet is terveznek, ideértve az indirekt adatokon alapuló azonosítók előállításának módszereit, például a képernyő felbontását, a támogatott MIME típusok felsorolását, a fejlécekben található speciális paramétereket (HTTP / 2 és HTTPS), elemzéseket bővítmények és telepített betűtípusok.
Valamint bizonyos webes API-k elérhetősége, Videokártya-specifikus megjelenítési funkciók WebGL és Canvas használatával, CSS-manipulációk, az egér és a billentyűzet jellemzőinek elemzése.
Ezenkívül a Chrome védelmet nyújt az l ellen-hez kapcsolódó visszaélések az eredeti oldalra való visszatérés nehézségei másik webhelyre váltás után (jó megvalósítás, az oldalak között átirányító webhelyekkel szemben).
Arról a gyakorlatról beszélünk, hogy a konverziós előzményeket automatikus átirányítások sorozatával telítsük, vagy mesterségesen hozzáadjuk a próbabábukat a böngészési előzményekhez (a pushState-en keresztül), aminek eredményeként a felhasználó nem használhatja a «Vissza» gombot a visszatéréshez. az eredeti oldal véletlenszerű átmenet vagy kényszerített újraküldés után egy átverési webhelyre.
Az ilyen manipulációk elleni védelem érdekében A Vissza gombkezelőben lévő Chrome kihagyja az automatikus továbbítással és a látogatási előzmények manipulálásával kapcsolatos naplókat, csak azok az oldalak maradnak nyitva, amelyek kifejezett felhasználói műveletekkel rendelkeznek.
forrás: https://blog.chromium.org/
És pontosan hogyan állítják be a sütit?