Google Chrome
Google telah mengumumkan pengenalan perubahan Chrome pada masa akan datang, bertujuan untuk meningkatkan privasi. Yang pertama sebahagian daripada perubahan merujuk kepada pengendalian kuki dan sokongan atribut SameSite.
Bermula dengan pelepasan Chrome versi 76 (dijangka pada bulan Julai), jenama "sama-dengan-lalai-kuki" akan diaktifkan bahawa, jika tidak ada atribut SameSite di header Set-Cookie, nilai "SameSite = Lax" akan ditetapkan secara lalai, yang membatasi pengiriman kuki.
Untuk penyisipan laman web pihak ketiga (tetapi laman web masih dapat menghapus sekatan itu, jelas dengan menetapkan SameSite = Tiada semasa menetapkan kuki).
Atribut SameSite membenarkan penyemak imbas web (krom) tentukan situasi di mana pemindahan kuki boleh diterima apabila permintaan datang dari laman web pihak ketiga.
Pada masa ini, penyemak imbas menghantar Kuki atas permintaan apa pun ke laman web yang mana kuki ditetapkan, walaupun laman web lain pada mulanya dibuka dan panggilan dibuat secara tidak langsung dengan memuat turun gambar atau menggunakan iframe.
Mengenai SameSite
Rangkaian iklan menggunakan ciri ini untuk mengesan pergerakan pengguna antara laman web dan penyerang untuk mengatur serangan CSRF(Apabila sumber yang dikendalikan penyerang dibuka, permintaan disembunyikan dari halamannya ke laman web lain di mana pengguna semasa disahkan, dan penyemak imbas pengguna menetapkan kuki sesi untuk permintaan tersebut.)
Sebaliknya, kemampuan untuk mengirim kuki ke laman web pihak ketiga digunakan untuk memasukkan widget di halaman, misalnya, untuk berintegrasi dengan YouTube atau Facebook.
Dengan menggunakan atribut SameSite, anda dapat mengawal tingkah laku ketika menetapkan kuki dan membenarkan pengiriman kuki hanya sebagai tindak balas kepada permintaan yang dimulakan dari laman web dari mana asalnya kuki ini diterima.
SameSite dapat mengambil tiga nilai "Strict", "Lax" dan "None".
Dalam mod ketat ("Ketat")Kuki tidak dihantar untuk sebarang jenis permintaan silang laman, termasuk semua pautan masuk dari laman web luaran.
Dalam mod "Ringan": Sekatan yang lebih baik berlaku dan pemindahan kuki hanya disekat untuk permintaan silang laman seperti permintaan gambar atau muat turun kandungan melalui iframe.
Perbezaan antara "" Ketat "dan" Lax "adalah kerana menyekat kuki apabila pautan diikuti.
Perubahan lain
Perubahan akan datang yang diharapkan untuk versi Chrome yang akan datang, ia dirancang untuk menerapkan had ketat yang melarang pemprosesan kuki pihak ketiga untuk permintaan tanpa HTTPS (dengan atribut SameSite = Tiada, kuki hanya dapat ditetapkan dalam mod Selamat).
Di samping itu, pekerjaan dirancang untuk melindungi terhadap penggunaan cap jari penyemak imbas, termasuk kaedah untuk menghasilkan pengenal berdasarkan data tidak langsung seperti resolusi layar, daftar jenis MIME yang disokong, parameter spesifik dalam tajuk (HTTP / 2 dan HTTPS), analisis pemalam dan fon yang dipasang.
Serta ketersediaan API web tertentu, Fungsi rendering khusus kad video menggunakan WebGL dan Canvas, manipulasi CSS, analisis ciri tetikus dan papan kekunci.
Di samping itu, Chrome akan mempunyai perlindungan terhadap lpenyelewengan yang berkaitan dengan kesukaran untuk kembali ke halaman asal setelah beralih ke laman web lain (pelaksanaan yang baik, terhadap laman web yang mengarahkan anda di antara halaman).
Kami sedang membincangkan praktik pemenuhan sejarah penukaran dengan rangkaian pengalihan automatik atau penambahan entri palsu dalam sejarah penyemakan imbas (melalui pushState), akibatnya pengguna tidak dapat menggunakan butang «Kembali» untuk kembali. halaman asal selepas peralihan rawak atau paksa meneruskan ke laman web penipuan.
Untuk melindungi daripada manipulasi seperti itu, Chrome di pengendali butang belakang akan melangkau log yang berkaitan dengan pemajuan automatik dan manipulasi sejarah lawatan, hanya membiarkan halaman terbuka dengan tindakan pengguna yang jelas.
Fuente: https://blog.chromium.org/
Dan tepat bagaimana set kuki?