"Google Chrome"
„Google“ paskelbė apie būsimų „Chrome“ pakeitimų įvedimą, skirtas privatumui pagerinti. Pirmasis dalis pokyčių nurodo slapukų tvarkymą ir „SameSite“ atributo palaikymą.
Pradedant „Chrome“ 76 versijos išleidimu (tikimasi liepos mėn.), bus suaktyvintas prekės ženklas „tos pačios svetainės slapukai“ kad, jei „Set-Cookie“ antraštėje nėra „SameSite“ atributo, pagal numatytuosius nustatymus bus nustatyta reikšmė „SameSite = Lax“, kuri apriboja slapukų siuntimą.
Trečiųjų šalių svetainių intarpams (bet svetainės vis tiek galės pašalinti apribojimą, akivaizdžiai nustatydami „SameSite“ = Nėra nustatydami slapuką).
Atributas „SameSite“ leidžia naudoti žiniatinklio naršyklę („Chrome“) apibrėžti situacijas, kuriose slapukų perdavimas yra priimtinas kai pateikiama užklausa iš trečiosios šalies svetainės.
Šiuo metu naršyklė siunčia slapukus pagal bet kokią užklausą svetainei, kuriai nustatyti slapukai, net jei iš pradžių atidaroma kita svetainė ir skambinama netiesiogiai, atsisiųsdami vaizdą arba naudodami „iframe“.
Apie „SameSite“
Skelbimų tinklai naudoja šią funkciją stebėdami vartotojų judėjimas tarp svetainių ir užpuolikai organizuoti CSRF atakas(Atidarius užpuoliko valdomą šaltinį, užklausa paslėpta iš jos puslapių į kitą svetainę, kurioje yra patvirtintas dabartinis vartotojas, ir vartotojo naršyklė nustato tos užklausos seanso slapukus.)
Kita vertus, galimybė siųsti slapukus trečiųjų šalių svetainėms naudojama įterpti į puslapius valdiklius, pavyzdžiui, norint integruotis į „YouTube“ ar „Facebook“.
Naudodami „SameSite“ atributą, galite valdyti elgesį nustatydami slapukus ir leisti siųsti slapukus tik atsakant į užklausas, pateiktas iš svetainės, iš kurios šie slapukai buvo gauti iš pradžių.
„SameSite“ gali būti trijų reikšmių „Griežta“, „Lax“ ir „None“.
Griežtu režimu („Griežta“)- Slapukai nėra siunčiami už bet kokio tipo užklausas keliose svetainėse, įskaitant visas gaunamas nuorodas iš išorinių svetainių.
Režimu „Lax“: Taikomi švelnesni apribojimai, o slapukų perdavimas užblokuojamas tik keliose svetainėse pateiktoms užklausoms, tokioms kaip vaizdo užklausa ar turinio atsisiuntimas per „iframe“.
Skirtumas tarp „„ Griežto “ir„ Laxo “susijęs su slapukų blokavimu, kai laikomasi nuorodos.
Kiti pakeitimai
Iš kitų būsimų „Chrome“ versijų numatomų pokyčių planuojama taikyti griežtą limitą, draudžiantį apdoroti trečiųjų šalių slapukus ne HTTPS užklausoms (su atributu SameSite = Nėra, slapukus galima nustatyti tik saugiuoju režimu).
Be to, planuojama apsisaugoti nuo naršyklės pirštų atspaudų naudojimo, įskaitant identifikatorių generavimo metodus remiantis netiesioginiais duomenimis, tokiais kaip ekrano skiriamoji geba, palaikomų MIME tipų sąrašas, konkretūs antraštių parametrai (HTTP / 2 ir HTTPS), analizė papildinių ir įdiegtų šriftų.
Taip pat tam tikrų žiniatinklio API prieinamumas, Vaizdo plokštėms būdingos atvaizdavimo funkcijos naudojant „WebGL“ ir „Canvas“, CSS manipuliacijos, pelės ir klaviatūros charakteristikų analizė.
Be to, „Chrome“ turės apsaugą nuo lpiktnaudžiavimai, susiję su sunku grįžti į pradinį puslapį perėjus į kitą svetainę (geras įgyvendinimas, palyginti su svetainėmis, kurios nukreipia jus iš vieno puslapio į kitą).
Mes kalbame apie konversijų istorijos prisotinimą automatinių peradresavimų serija arba dirbtinai įtraukiant fiktyvius įrašus į naršymo istoriją (per „pushState“), todėl vartotojas negali grįžti naudodamas mygtuką „Atgal“. pradinis puslapis po atsitiktinio perėjimo ar priverstinio pakartotinio pateikimo į sukčių svetainę.
Norėdami apsisaugoti nuo tokių manipuliacijų, Mygtuko „Atgal“ tvarkyklė „Chrome“ praleis žurnalus, susijusius su automatiniu persiuntimu, ir manipuliavimą apsilankymo istorija, paliekant atvirus tik puslapius su aiškiais vartotojo veiksmais.
Fuente: https://blog.chromium.org/
Kaip tiksliai nustatomas slapukas?