Google Chrome
Google ogłosił wprowadzenie przyszłych zmian w Chrome, mające na celu poprawę prywatności. Pierwszy część zmian odnosi się do obsługi plików cookie i obsługi atrybutu SameSite.
Począwszy od wydania Chrome w wersji 76 (spodziewany w lipcu), aktywowana zostanie marka „same-site-by-default-cookies” że w przypadku braku atrybutu SameSite w nagłówku Set-Cookie domyślnie zostanie ustawiona wartość „SameSite = Lax”, co ogranicza wysyłanie plików cookie.
W przypadku wstawiania witryn innych firm (ale witryny nadal będą mogły usunąć ograniczenie, oczywiście przez ustawienie SameSite = None podczas ustawiania pliku cookie).
Atrybut SameSite umożliwia przeglądarkę internetową (Chrom) określić sytuacje, w których przesyłanie plików cookies jest dopuszczalne gdy żądanie pochodzi z witryny innej firmy.
Obecnie przeglądarka wysyła pliki cookie na każde żądanie do witryny, dla której ustawiono pliki cookie, nawet jeśli inna witryna jest początkowo otwierana, a wywołanie jest nawiązywane pośrednio przez pobranie obrazu lub użycie ramki iframe.
O SameSite
Sieci reklamowe używają tej funkcji do śledzenia przemieszczanie się użytkowników między witrynami i napastników do organizowania ataków CSRF(Po otwarciu zasobu kontrolowanego przez atakującego żądanie jest ukrywane na jego stronach do innej witryny, w której bieżący użytkownik jest uwierzytelniony, a przeglądarka użytkownika ustawia pliki cookie sesji dla tego żądania).
Z drugiej strony możliwość wysyłania plików cookies do serwisów podmiotów trzecich służy do wstawiania widżetów na strony np. W celu integracji z YouTube czy Facebookiem.
Korzystając z atrybutu SameSite, możesz kontrolować zachowanie podczas ustawiania plików cookie i zezwalają na wysyłanie plików cookie tylko w odpowiedzi na żądania wysyłane z witryny, z której te pliki cookie zostały pierwotnie odebrane.
SameSite może przyjąć trzy wartości: „Strict”, „Lax” i „None”.
W trybie ścisłym ("Ścisły")- Pliki cookie nie są wysyłane dla żadnego typu żądań między witrynami, w tym wszystkich linków przychodzących z witryn zewnętrznych.
W trybie "Niedbały": Mają zastosowanie łagodniejsze ograniczenia, a transfer plików cookie jest blokowany tylko w przypadku żądań między witrynami, takich jak żądanie obrazu lub pobieranie treści za pośrednictwem elementu iframe.
Rozróżnienie między „Strict” i „Lax” sprowadza się do blokowania plików cookie po kliknięciu linku.
Inne zmiany
Spośród innych nadchodzących zmian oczekiwanych w przyszłych wersjach Chrome, planowane jest zastosowanie ścisłego ograniczenia, które zabrania przetwarzania plików cookie stron trzecich w przypadku żądań innych niż HTTPS (z atrybutem SameSite = None, pliki cookie można ustawić tylko w trybie awaryjnym).
Dodatkowo planowane są prace mające na celu ochronę przed wykorzystaniem odcisków palców przeglądarki, w tym metody generowania identyfikatorów na podstawie danych pośrednich takich jak rozdzielczość ekranu, lista obsługiwanych typów MIME, konkretne parametry w nagłówkach (HTTP / 2 i HTTPS), analiza wtyczek i zainstalowanych czcionek.
Oprócz dostępności niektórych internetowych interfejsów API, Funkcje renderowania specyficzne dla karty graficznej przy użyciu WebGL i Canvas, manipulacje CSS, analiza cech myszy i klawiatury.
Dodatkowo Chrome będzie miał ochronę przed lnadużycia związane z trudność powrotu do oryginalnej strony po przejściu na inną witrynę (dobra implementacja, w porównaniu z witrynami, które przekierowują Cię między stronami).
Mowa o praktyce nasycania historii konwersji serią automatycznych przekierowań lub sztucznego dodawania fikcyjnych wpisów do historii przeglądania (poprzez pushState), w wyniku czego użytkownik nie może użyć przycisku „Wstecz” do powrotu. Powrót do oryginalnej strony po losowym przeniesieniu lub wymuszonym ponownym przesłaniu do oszukańczej witryny.
Aby chronić się przed takimi manipulacjami, Chrome w module obsługi przycisku wstecz pominie dzienniki związane z automatycznym przekazywaniem i manipulowaniem historią odwiedzin, pozostawiając otwarte tylko strony z wyraźnymi działaniami użytkownika.
źródło: https://blog.chromium.org/
A jak dokładnie jest ustawiony plik cookie?