GoogleはChromeへの将来の変更の導入を発表しました、プライバシーの向上を目的としています。 最初の 変更の一部 Cookieの処理とSameSite属性のサポートを指します。
Chromeバージョン76のリリース以降 (XNUMX月に予定)、 ブランド「same-site-by-default-cookies」がアクティブになります つまり、Set-CookieヘッダーにSameSite属性がない場合、値「SameSite = Lax」がデフォルトで設定され、Cookieの送信が制限されます。
サードパーティのサイト挿入の場合(ただし、Cookieを設定するときにSameSite = Noneを設定することで、サイトは制限を削除できます)。
属性 SameSiteはウェブブラウザを許可します (クロム) Cookieの転送が受け入れられる状況を定義する サードパーティのサイトからリクエストが来たとき。
現在、ブラウザは、Cookieが設定されているサイトへのリクエストに対して、別のサイトが最初に開かれ、画像のダウンロードまたはiframeを使用して間接的に呼び出された場合でも、Cookieを送信します。
SameSiteについて
広告ネットワークはこの機能を使用して追跡します サイト間のユーザーの移動 および攻撃者がCSRF攻撃を組織化する(攻撃者が制御するリソースが開かれると、要求はそのページから現在のユーザーが認証されている別のサイトに隠され、ユーザーのブラウザーはその要求のセッションCookieを設定します。)
一方、サードパーティのサイトにCookieを送信する機能は、たとえばYouTubeやFacebookと統合するために、ページにウィジェットを挿入するために使用されます。
SameSite属性を使用すると、Cookieを設定するときの動作を制御できます また、これらのCookieを最初に受信したサイトから開始された要求に応答する場合にのみCookieの送信を許可します。
SameSiteは、「Strict」、「Lax」、「None」のXNUMXつの値を取ることができます。
厳密モードの場合 (「厳格」)外部サイトからのすべてのインバウンドリンクを含む、いかなるタイプのクロスサイトリクエストに対してもCookieは送信されません。
モードで 「ゆるい」: よりソフトな制限が適用され、Cookieの転送は、画像リクエストやiframeを介したコンテンツのダウンロードなどのクロスサイトリクエストに対してのみブロックされます。
「Strict」と「Lax」の違いは、リンクがたどられたときにCookieをブロックすることです。
その他の変更
Chromeの将来のバージョンで予想されるその他の今後の変更のうち、 サードパーティのCookieの処理を禁止する厳格な制限を適用する予定です HTTPSを使用しないリクエストの場合(属性SameSite = Noneの場合、Cookieはセーフモードでのみ設定できます)。
さらに、画面解像度、サポートされているMIMEタイプのリスト、ヘッダー内の特定のパラメーター(HTTP / 2およびHTTPS)、分析などの間接データに基づいて識別子を生成する方法など、ブラウザーのフィンガープリントの使用から保護するための作業が計画されています。プラグインとインストールされたフォントの。
特定のWebAPIの可用性と同様に、WebGLとCanvasを使用したビデオカード固有のレンダリング機能、CSS操作、マウスとキーボードの特性の分析。
さらに、Chromeはlに対する保護を備えていますに関連する虐待 元のページに戻ることの難しさ 別のサイトに切り替えた後(ページ間でリダイレクトするサイトに対しては、適切な実装)。
一連の自動リダイレクトで変換履歴を飽和させるか、(pushStateを介して)閲覧履歴にダミーエントリを人為的に追加する方法について話します。その結果、ユーザーは「戻る」ボタンを使用して戻ることができなくなります。ランダムな移行または詐欺サイトへの強制転送後の元のページ。
そのような操作から保護するために、 戻るボタンハンドラーのChromeは、自動転送と訪問履歴の操作に関連するログをスキップします、明示的なユーザーアクションでページのみを開いたままにします。
そして、Cookieはどのように設定されていますか?