Google Chrome
Google har kunngjort innføring av fremtidige endringer i Chrome, ment å forbedre personvernet. Den første del av endringene refererer til håndtering av informasjonskapsler og støtten til SameSite-attributtet.
Starter med utgivelsen av Chrome versjon 76 (forventet i juli), merkevaren "same-site-by-default-cookies" vil bli aktivert at i fravær av SameSite-attributtet i Set-Cookie-overskriften, vil verdien "SameSite = Lax" bli satt som standard, noe som begrenser sending av informasjonskapsler.
For tredjeparts nettstedinnlegg (men nettsteder vil fremdeles være i stand til å fjerne begrensningen, tydeligvis ved å sette SameSite = Ingen når du setter informasjonskapsel).
Egenskap SameSite tillater nettleseren (Chromium) definere situasjoner der overføring av informasjonskapsler er akseptabelt når en forespørsel kommer fra et tredjeparts nettsted.
Foreløpig sender nettleseren informasjonskapsler på en hvilken som helst forespørsel til nettstedet som det er satt inn informasjonskapsler for, selv om et annet nettsted opprinnelig åpnes og samtalen ringes indirekte ved å laste ned et bilde eller bruke en iframe.
Om SameSite
Annonsenettverk bruker denne funksjonen til å spore bevegelse av brukere mellom nettsteder og angripere for å organisere CSRF-angrep(Når en angriperstyrt ressurs åpnes, skjules en forespørsel fra sidene til et annet nettsted der den nåværende brukeren er autentisert, og brukerens nettleser angir økt-informasjonskapsler for den forespørselen.)
På den annen side brukes muligheten til å sende informasjonskapsler til tredjeparts nettsteder for å sette inn widgets på sidene, for eksempel for å integrere med YouTube eller Facebook.
Ved å bruke SameSite-attributtet kan du kontrollere oppførselen når du setter informasjonskapsler og tillate kun å sende informasjonskapsler som svar på forespørsler som er startet fra nettstedet som disse informasjonskapslene opprinnelig ble mottatt fra.
SameSite kan ta tre verdier "Strengt", "Lax" og "Ingen".
I streng modus ("Streng")- Informasjonskapsler sendes ikke for noen form for forespørsel på tvers av nettsteder, inkludert alle inngående lenker fra eksterne nettsteder.
I modus "Lax": Mykere begrensninger gjelder og overføring av informasjonskapsler er bare blokkert for forespørsler på tvers av nettsteder, for eksempel en bildeforespørsel eller nedlasting av innhold via en iframe.
Skillet mellom "" Strengt "og" Lax "kommer ned til å blokkere informasjonskapsler når en lenke følges.
Andre endringer
Av de andre kommende endringene som forventes for fremtidige versjoner av Chrome, det er planlagt å bruke en streng grense som forbyr behandling av tredjeparts informasjonskapsler for forespørsler uten HTTPS (med attributtet SameSite = Ingen, informasjonskapsler kan bare settes i sikkermodus).
I tillegg er det planlagt arbeid for å beskytte mot bruk av fingeravtrykk i nettleseren, inkludert metoder for å generere identifikatorer basert på indirekte data som skjermoppløsning, en liste over støttede MIME-typer, spesifikke parametere i topptekstene (HTTP / 2 og HTTPS), analyse av plugins og installerte skrifter.
I tillegg til tilgjengeligheten av visse web-API-er, Grafikkortspesifikke gjengivelsesfunksjoner ved bruk av WebGL og Canvas, CSS-manipulasjoner, analyse av mus og tastaturegenskaper.
I tillegg vil Chrome ha beskyttelse mot lovergrep assosiert med vanskeligheten med å gå tilbake til den opprinnelige siden etter å ha byttet til et annet nettsted (en god implementering, mot nettsteder som omdirigerer deg mellom sider).
Vi snakker om øvelsen med å mette konverteringshistorikken med en serie automatiske viderekoblinger eller kunstig legge til dummyoppføringer i nettleserloggen (via pushState), som et resultat av at brukeren ikke kan bruke «Tilbake» -knappen for å gå tilbake. den opprinnelige siden etter en tilfeldig overgang eller tvangsinnlevering til et svindelsted.
For å beskytte mot slike manipulasjoner, Chrome i bakknapphåndtereren hopper over logger knyttet til automatisk videresending og manipulering av besøkshistorikk, slik at bare sidene er åpne med eksplisitte brukerhandlinger.
Fuente: https://blog.chromium.org/
Og nøyaktig hvordan er informasjonskapslen satt?