Google Chrome
O Google anunciou a introdução de futuras mudanças no Chrome, com o objetivo de melhorar a privacidade. O primeiro parte das mudanças refere-se ao tratamento de cookies e ao suporte do atributo SameSite.
Começando com o lançamento do Chrome versão 76 (esperado em julho), a marca "cookies do mesmo site por padrão" será ativada que, na ausência do atributo SameSite no cabeçalho Set-Cookie, o valor "SameSite = Lax" será definido por padrão, o que limita o envio de cookies.
Para inserções em sites de terceiros (mas os sites ainda serão capazes de remover a restrição, obviamente definindo SameSite = None ao definir o cookie).
Atributo SameSite permite o navegador da web (Cromada) definir situações em que a transferência de cookies é aceitável quando uma solicitação vem de um site de terceiros.
Atualmente, o navegador envia Cookies em qualquer solicitação ao site para o qual estão definidos cookies, mesmo que outro site seja inicialmente aberto e a chamada seja feita indiretamente, baixando uma imagem ou usando um iframe.
Sobre o SameSite
As redes de publicidade usam esse recurso para rastrear a movimentação de usuários entre sites e atacantes para organizar ataques CSRF(Quando um recurso controlado por invasor é aberto, uma solicitação é ocultada de suas páginas para outro site onde o usuário atual está autenticado e o navegador do usuário define cookies de sessão para essa solicitação.)
Por outro lado, a capacidade de enviar cookies para sites de terceiros é usada para inserir widgets nas páginas, por exemplo, para integração com o YouTube ou Facebook.
Usando o atributo SameSite, você pode controlar o comportamento ao definir cookies e permitir o envio de cookies apenas em resposta a solicitações iniciadas no site do qual esses cookies foram originalmente recebidos.
SameSite pode assumir três valores "Strict", "Lax" e "None".
Em modo estrito ("Estrito")Os cookies não são enviados para nenhum tipo de solicitação entre sites, incluindo todos os links de entrada de sites externos.
No modo "Lax": Restrições mais suaves se aplicam e a transferência de cookies só é bloqueada para solicitações entre sites, como solicitação de imagem ou download de conteúdo por meio de um iframe.
A distinção entre "" Strict "e" Lax "se resume ao bloqueio de cookies quando um link é acessado.
Outras mudanças
Das outras mudanças futuras esperadas para versões futuras do Chrome, um limite estrito está planejado para proibir o processamento de cookies de terceiros para solicitações sem HTTPS (com o atributo SameSite = None, os cookies só podem ser definidos no modo de segurança).
Além disso, o trabalho está planejado para proteger contra o uso de impressão digital do navegador, incluindo métodos para gerar identificadores com base em dados indiretos, como resolução de tela, uma lista de tipos MIME suportados, parâmetros específicos nos cabeçalhos (HTTP / 2 e HTTPS), análise de plug-ins e fontes instaladas.
Bem como a disponibilidade de certas APIs da web, Funções de renderização específicas de placas de vídeo usando WebGL e Canvas, manipulações CSS, análise de características de mouse e teclado.
Além disso, o Chrome terá proteção contra labusos associados com a dificuldade de voltar à página original depois de mudar para outro site (uma boa implementação, contra sites que redirecionam você entre as páginas).
Estamos falando sobre a prática de saturar o histórico de conversão com uma série de redirecionamentos automáticos ou adicionar artificialmente entradas fictícias ao histórico de navegação (via pushState), como resultado do qual o usuário não pode usar o botão «Voltar» para retornar. a página original após uma transição aleatória ou encaminhamento forçado para um site fraudulento.
Para se proteger contra tais manipulações, O Chrome no manipulador do botão Voltar irá ignorar os registros associados ao encaminhamento automático e manipulação do histórico de visitas, deixando apenas as páginas abertas com ações explícitas do usuário.
fonte: https://blog.chromium.org/
E exatamente como o cookie é definido?