Google Chrome
Google telah mengumumkan pengenalan perubahan masa depan pada Chrome, dimaksudkan untuk meningkatkan privasi. Yang pertama bagian dari perubahan mengacu pada penanganan cookie dan dukungan atribut SameSite.
Dimulai dengan rilis Chrome versi 76 (diharapkan pada bulan Juli), merek "same-site-by-default-cookies" akan diaktifkan bahwa, jika atribut SameSite tidak ada di header Set-Cookie, nilai "SameSite = Lax" akan disetel secara default, yang membatasi pengiriman cookie.
Untuk penyisipan situs pihak ketiga (tetapi situs masih dapat menghapus batasan, jelas dengan mengatur SameSite = None saat mengatur cookie).
Atribut SameSite memungkinkan browser web (Krom) menentukan situasi di mana transfer cookie dapat diterima saat permintaan datang dari situs pihak ketiga.
Saat ini, browser mengirimkan Cookie berdasarkan permintaan apa pun ke situs yang cookie-nya disetel, bahkan jika situs lain pada awalnya dibuka dan panggilan dilakukan secara tidak langsung dengan mengunduh gambar atau menggunakan iframe.
Tentang SameSite
Jaringan iklan menggunakan fitur ini untuk melacak pergerakan pengguna antar situs dan penyerang untuk mengatur serangan CSRF(Saat sumber daya yang dikendalikan penyerang dibuka, permintaan disembunyikan dari halamannya ke situs lain tempat pengguna saat ini diautentikasi, dan browser pengguna menyetel cookie sesi untuk permintaan tersebut.)
Di sisi lain, kemampuan untuk mengirim cookie ke situs pihak ketiga digunakan untuk memasukkan widget di halaman, misalnya, untuk diintegrasikan dengan YouTube atau Facebook.
Dengan menggunakan atribut SameSite, Anda dapat mengontrol perilaku saat menyetel cookie dan mengizinkan pengiriman cookie hanya sebagai tanggapan atas permintaan yang dimulai dari situs asal cookie ini diterima.
SameSite dapat menggunakan tiga nilai "Strict", "Lax", dan "None".
Dalam mode ketat ("Ketat")Cookie tidak dikirim untuk semua jenis permintaan lintas situs, termasuk semua tautan masuk dari situs eksternal.
Dalam mode "Longgar": Pembatasan yang lebih lembut berlaku dan transfer cookie hanya diblokir untuk permintaan lintas situs seperti permintaan gambar atau unduhan konten melalui iframe.
Perbedaan antara "" Strict "dan" Lax "adalah untuk memblokir cookie saat tautan diikuti.
Perubahan lainnya
Dari perubahan mendatang lainnya yang diharapkan untuk versi Chrome mendatang, pembatasan ketat direncanakan untuk melarang pemrosesan cookie pihak ketiga untuk permintaan tanpa HTTPS (dengan atribut SameSite = None, cookie hanya dapat disetel dalam mode Aman).
Selain itu, pekerjaan direncanakan untuk melindungi penggunaan sidik jari browser, termasuk metode untuk menghasilkan pengenal berdasarkan data tidak langsung seperti resolusi layar, daftar jenis MIME yang didukung, parameter spesifik di header (HTTP / 2 dan HTTPS), analisis plugin dan font yang diinstal.
Serta ketersediaan API web tertentu, Fungsi rendering khusus kartu video menggunakan WebGL dan Canvas, manipulasi CSS, analisis karakteristik mouse dan keyboard.
Selain itu, Chrome akan memiliki perlindungan terhadap lpenyalahgunaan yang terkait dengan kesulitan untuk kembali ke halaman asli setelah beralih ke situs lain (penerapan yang baik, terhadap situs yang mengarahkan Anda antar halaman).
Kita berbicara tentang praktik memenuhi riwayat konversi dengan serangkaian pengalihan otomatis atau menambahkan entri tiruan ke riwayat penelusuran (melalui pushState) secara artifisial, akibatnya pengguna tidak dapat menggunakan tombol «Kembali» untuk kembali. halaman asli setelah transisi acak atau penerusan paksa ke situs scam.
Untuk melindungi dari manipulasi semacam itu, Chrome di penangan tombol kembali akan melewati log yang terkait dengan penerusan otomatis dan mengunjungi manipulasi riwayat, hanya menyisakan halaman yang terbuka dengan tindakan pengguna yang eksplisit.
sumber: https://blog.chromium.org/
Dan bagaimana tepatnya cookie disetel?