Chrome beschermt tegen de overdracht van cookies van derden en verborgen identificatie

Darkcrizt

4 minuten

Google Chrome

Google Chrome

Google heeft de introductie aangekondigd van toekomstige wijzigingen in Chrome, bedoeld om de privacy te verbeteren. Het eerste een deel van de veranderingen verwijst naar de afhandeling van cookies en de ondersteuning van het SameSite-attribuut.

Te beginnen met de release van Chrome-versie 76 (verwacht in juli),  het merk "same-site-by-default-cookies" wordt geactiveerd dat, bij afwezigheid van het SameSite-attribuut in de Set-Cookie-header, de waarde "SameSite = Lax" standaard wordt ingesteld, wat het verzenden van cookies beperkt.

Voor site-inserts van derden (maar sites kunnen de beperking nog steeds verwijderen, uiteraard door SameSite = None in te stellen bij het instellen van de cookie).

Attribuut SameSite staat de webbrowser toe (Chroom) situaties definiëren waarin de overdracht van cookies acceptabel is wanneer een verzoek afkomstig is van een site van een derde partij.

Momenteel verzendt de browser bij elk verzoek cookies naar de site waarvoor cookies zijn ingesteld, zelfs als in eerste instantie een andere site wordt geopend en de oproep indirect wordt gedaan door een afbeelding te downloaden of een iframe te gebruiken.

Over SameSite

Advertentienetwerken gebruiken deze functie om bij te houden de verplaatsing van gebruikers tussen sites en aanvallers om CSRF-aanvallen te organiseren(Wanneer een door een aanvaller beheerde bron wordt geopend, wordt een verzoek verborgen van de pagina's naar een andere site waar de huidige gebruiker is geverifieerd, en de browser van de gebruiker stelt sessiecookies in voor dat verzoek.)

Aan de andere kant wordt de mogelijkheid om cookies naar sites van derden te sturen gebruikt om widgets op de pagina's in te voegen, bijvoorbeeld om te integreren met YouTube of Facebook.

Door het SameSite-attribuut te gebruiken, kunt u het gedrag bij het plaatsen van cookies controleren en het verzenden van cookies alleen toestaan ​​als reactie op verzoeken die zijn geïnitieerd vanaf de site waarvan deze cookies oorspronkelijk zijn ontvangen.

SameSite kan drie waarden aannemen: "Strict", "Lax" en "None".

In strikte modus ("Strikt")- Er worden geen cookies verzonden voor alle soorten cross-site-verzoeken, inclusief alle inkomende links van externe sites.

In modus "Laks": Er zijn zachtere beperkingen van toepassing en de overdracht van cookies wordt alleen geblokkeerd voor verzoeken om meerdere sites, zoals een afbeeldingsverzoek of het downloaden van inhoud via een iframe.

Het onderscheid tussen "" Strict "en" Lax "komt neer op het blokkeren van cookies wanneer een link wordt gevolgd.

Andere wijzigingen

Van de andere aankomende wijzigingen die worden verwacht voor toekomstige versies van Chrome, het is de bedoeling om een ​​strikte limiet toe te passen die de verwerking van cookies van derden verbiedt voor verzoeken zonder HTTPS (met het attribuut SameSite = None kunnen cookies alleen in de veilige modus worden ingesteld).

Daarnaast zijn er werkzaamheden gepland om te beschermen tegen het gebruik van browservingerafdrukken, inclusief methoden voor het genereren van identificatiegegevens op basis van indirecte gegevens zoals schermresolutie, een lijst met ondersteunde MIME-typen, specifieke parameters in de headers (HTTP / 2 en HTTPS), analyse van plug-ins en geïnstalleerde lettertypen.

Evenals de beschikbaarheid van bepaalde web-API's, Videokaartspecifieke weergavefuncties met behulp van WebGL en Canvas, CSS-manipulaties, analyse van muis- en toetsenbordkenmerken.

Bovendien heeft Chrome bescherming tegen lmisstanden in verband met de moeilijkheid om terug te keren naar de oorspronkelijke pagina na het overschakelen naar een andere site (een goede implementatie, tegen sites die u tussen pagina's omleiden).

We hebben het over de praktijk van het verzadigen van de conversiegeschiedenis met een reeks automatische omleidingen of het kunstmatig toevoegen van dummy-items aan de browsegeschiedenis (via pushState), waardoor de gebruiker de knop «Terug» niet kan gebruiken om terug te keren. de oorspronkelijke pagina na een willekeurige overgang of gedwongen opnieuw indienen bij een scamsite.

Om u tegen dergelijke manipulaties te beschermen, Chrome in de terugknop-handler slaat logboeken over die zijn gekoppeld aan automatisch doorsturen en bezoekt geschiedenismanipulatie, waardoor alleen de pagina's open blijven met expliciete gebruikersacties.

bron: https://blog.chromium.org/


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   pablo zei
    geleden Tot 4 jaar

    En hoe wordt de cookie precies geplaatst?

    Reageer op pablo