גוגל הודיעה על הצגת שינויים עתידיים ב- Chrome, שנועדו לשפר את הפרטיות. 1 חלק מהשינויים מתייחס לטיפול בעוגיות ולתמיכה במאפיין SameSite.
החל משחרור גרסת Chrome 76 (צפוי ביולי), המותג "אותו אתר-לפי-ברירת מחדל-עוגיות" יופעל כי בהיעדר תכונת SameSite בכותרת Set-Cookie, הערך "SameSite = Lax" ייקבע כברירת מחדל, מה שמגביל את שליחת העוגיות.
עבור הוספות אתרים של צד שלישי (אך אתרים עדיין יוכלו להסיר את ההגבלה, כמובן על ידי הגדרת SameSite = None בעת הגדרת ה- cookie).
תְכוּנָה SameSite מאפשר לדפדפן האינטרנט (כרום) להגדיר מצבים שבהם העברת עוגיות מקובלת כאשר בקשה מגיעה מאתר צד ג '.
נכון לעכשיו, הדפדפן שולח עוגיות בכל בקשה לאתר שלשמו מוגדרות קובצי Cookie, גם אם אתר אחר נפתח בתחילה והשיחה נעשית בעקיפין באמצעות הורדת תמונה או שימוש ב- iframe.
אודות SameSite
רשתות מודעות משתמשות בתכונה זו למעקב את תנועת המשתמשים בין אתרים ותוקפים לארגן התקפות CSRF(כאשר נפתח משאב נשלט על ידי התוקף, בקשה מוסתרת מדפיו לאתר אחר שבו מאומת המשתמש הנוכחי, ודפדפן המשתמש מגדיר קובצי Cookie להפעלה עבור בקשה זו).
מצד שני, היכולת לשלוח קובצי Cookie לאתרי צד שלישי משמשת להכנסת ווידג'טים לדפים, למשל, להשתלבות ביוטיוב או בפייסבוק.
באמצעות התכונה SameSite, אתה יכול לשלוט בהתנהגות בעת הגדרת קובצי Cookie ולאפשר שליחת קובצי Cookie רק בתגובה לבקשות שהושקו מהאתר ממנו התקבלו במקור קובצי Cookie אלה.
SameSite יכול לקחת שלושה ערכים "Strict", "Lax" ו- "None".
במצב קפדני ("קַפְּדָנִי")- עוגיות אינן נשלחות לכל סוג של בקשות חוצות אתרים, כולל כל הקישורים הנכנסים מאתרים חיצוניים.
במצב "רָפֶה": מגבלות רכות יותר חלות והעברת קובצי cookie נחסמת רק לבקשות בין אתרים כגון בקשת תמונה או הורדת תוכן באמצעות iframe.
ההבחנה בין "" קפדנית "ל"לאקס" מסתכמת בחסימת קובצי cookie כשמבצעים קישור.
שינויים אחרים
מבין שאר השינויים הצפויים בגירסאות עתידיות של Chrome, מתוכנן להחיל מגבלה מחמירה האוסרת על עיבוד קובצי Cookie של צד שלישי לבקשות שאינן HTTPS (עם התכונה SameSite = ללא, ניתן להגדיר קובצי cookie רק במצב בטוח).
בנוסף מתוכננת עבודה להגנה מפני שימוש בטביעות אצבעות בדפדפן, כולל שיטות להפקת מזהים על בסיס נתונים עקיפים כגון רזולוציית מסך, רשימה של סוגי MIME נתמכים, פרמטרים ספציפיים בכותרות (HTTP / 2 ו- HTTPS), ניתוח של תוספים וגופנים מותקנים.
כמו גם הזמינות של ממשקי API מסוימים באינטרנט, פונקציות עיבוד ספציפיות לכרטיס מסך באמצעות WebGL ו- Canvas, מניפולציות CSS, ניתוח מאפייני העכבר והמקלדת.
בנוסף, ל- Chrome תהיה הגנה מפני lהתעללויות הקשורות ל הקושי לחזור לדף המקורי לאחר המעבר לאתר אחר (יישום טוב, נגד אתרים שמפנים אותך בין דפים).
אנו מדברים על הנוהג להרוות את היסטוריית ההמרות בסדרה של הפניות אוטומטיות או הוספת מלאכותית דמות להיסטוריית הגלישה (באמצעות pushState), וכתוצאה מכך המשתמש אינו יכול להשתמש בלחצן «חזרה» כדי לחזור. העמוד המקורי לאחר מעבר אקראי או העברה מאולצת לאתר הונאה.
כדי להגן מפני מניפולציות כאלה, Chrome במטפל הכפתורים האחוריים ידלג על יומנים הקשורים להעברה אוטומטית ומניפולציה בהיסטוריה, ומשאיר רק את הדפים פתוחים עם פעולות משתמש מפורשות.
מקור: https://blog.chromium.org/
ואיך בדיוק קובעת העוגיה?