Google Chrome
Google ha annunciato l'introduzione di future modifiche a Chrome, destinato a migliorare la privacy. Il primo parte dei cambiamenti si riferisce alla gestione dei cookie e al supporto dell'attributo SameSite.
A partire dal rilascio di Chrome versione 76 (previsto a luglio), verrà attivato il marchio "cookie-sito-per-impostazione predefinita" che, in assenza dell'attributo SameSite nell'intestazione Set-Cookie, verrà impostato di default il valore "SameSite = Lax", che limita l'invio di cookie.
Per inserimenti di siti di terze parti (ma i siti potranno comunque rimuovere la restrizione, ovviamente impostando SameSite = None durante l'impostazione del cookie).
Attributo SameSite consente il browser web (Cromo) definire le situazioni in cui il trasferimento dei cookie è accettabile quando una richiesta proviene da un sito di terze parti.
Attualmente il browser invia Cookie ad ogni richiesta al sito per cui sono impostati i cookie, anche se inizialmente viene aperto un altro sito e la chiamata viene effettuata indirettamente scaricando un'immagine o utilizzando un iframe.
Informazioni su SameSite
Le reti pubblicitarie utilizzano questa funzione per monitorare il movimento degli utenti tra i siti e gli aggressori per organizzare attacchi CSRF(Quando viene aperta una risorsa controllata da un utente malintenzionato, una richiesta viene nascosta dalle sue pagine a un altro sito in cui l'utente corrente è autenticato e il browser dell'utente imposta i cookie di sessione per quella richiesta.)
Viene invece utilizzata la possibilità di inviare cookie a siti di terze parti per inserire widget nelle pagine, ad esempio per l'integrazione con YouTube o Facebook.
Utilizzando l'attributo SameSite, è possibile controllare il comportamento durante l'impostazione dei cookie e consentire l'invio di cookie solo in risposta a richieste avviate dal sito dal quale tali cookie sono stati originariamente ricevuti.
SameSite può assumere tre valori "Strict", "Lax" e "None".
In modalità rigorosa ("Rigoroso")- Non vengono inviati cookie per nessun tipo di richiesta cross-site, inclusi tutti i link in entrata da siti esterni.
Nella modalità "Lax": Si applicano restrizioni più morbide e il trasferimento dei cookie viene bloccato solo per le richieste cross-site come una richiesta di immagine o il download di contenuti tramite un iframe.
La distinzione tra "" Strict "e" Lax "si riduce al blocco dei cookie quando viene seguito un collegamento.
Altre modifiche
Tra le altre modifiche imminenti previste per le versioni future di Chrome, è prevista l'applicazione di un limite rigoroso che vieta il trattamento dei cookie di terze parti per richieste senza HTTPS (con l'attributo SameSite = Nessuno, i cookie possono essere impostati solo in modalità provvisoria).
Inoltre, è previsto il lavoro per proteggere dall'uso del fingerprinting del browser, inclusi metodi per la generazione di identificatori basati su dati indiretti come la risoluzione dello schermo, un elenco di tipi MIME supportati, parametri specifici nelle intestazioni (HTTP / 2 e HTTPS), analisi di plugin e caratteri installati.
Oltre alla disponibilità di alcune API web, Funzioni di rendering specifiche della scheda video utilizzando WebGL e Canvas, manipolazioni CSS, analisi delle caratteristiche di mouse e tastiera.
Inoltre, Chrome avrà protezione contro labusi associati a la difficoltà di tornare alla pagina originale dopo il passaggio a un altro sito (una buona implementazione, contro i siti che ti reindirizzano tra le pagine).
Stiamo parlando della pratica di saturare la cronologia delle conversioni con una serie di reindirizzamenti automatici o di aggiungere artificialmente voci fittizie alla cronologia di navigazione (tramite pushState), per cui l'utente non può utilizzare il pulsante «Indietro» per tornare indietro. la pagina originale dopo una transizione casuale o un inoltro forzato a un sito truffa.
Per proteggersi da tali manipolazioni, Chrome nel gestore del pulsante Indietro salterà i log associati all'inoltro automatico e alla manipolazione della cronologia delle visite, lasciando aperte solo le pagine con azioni esplicite dell'utente.
fonte: https://blog.chromium.org/
E come vengono impostati esattamente i cookie?