Google Chrome
Google объявила о внесении будущих изменений в Chrome, предназначенный для улучшения конфиденциальности. Первый часть изменений относится к обработке файлов cookie и поддержке атрибута SameSite.
Начиная с выпуска Chrome версии 76 (ожидается в июле), будет активирован бренд «куки-файлы того же сайта по умолчанию» что при отсутствии атрибута SameSite в заголовке Set-Cookie по умолчанию будет установлено значение SameSite = Lax, что ограничивает отправку файлов cookie.
Для вставок сторонних сайтов (но сайты по-прежнему смогут снять ограничение, очевидно, установив SameSite = None при установке файла cookie).
Атрибут SameSite позволяет использовать веб-браузер (Хром) определить ситуации, в которых передача файлов cookie допустима когда поступает запрос со стороннего сайта.
В настоящее время браузер отправляет файлы cookie по любому запросу на сайт, для которого установлены файлы cookie, даже если изначально открыт другой сайт и вызов осуществляется косвенно путем загрузки изображения или использования iframe.
О SameSite
Рекламные сети используют эту функцию для отслеживания перемещение пользователей между сайтами и злоумышленники для организации CSRF-атак(Когда открывается ресурс, контролируемый злоумышленником, запрос скрывается с его страниц на другом сайте, где текущий пользователь аутентифицируется, и браузер пользователя устанавливает файлы cookie сеанса для этого запроса.)
С другой стороны, возможность отправлять файлы cookie на сторонние сайты используется для вставки виджетов на страницы, например, для интеграции с YouTube или Facebook.
Используя атрибут SameSite, вы можете управлять поведением при установке файлов cookie. и разрешить отправку файлов cookie только в ответ на запросы, инициированные с сайта, с которого эти файлы cookie были изначально получены.
SameSite может принимать три значения: «Строгий», «Слабый» и «Нет».
В строгом режиме ("Строгий")Файлы cookie не отправляются ни для каких типов межсайтовых запросов, включая все входящие ссылки с внешних сайтов.
В режиме «Слабый»: Применяются более мягкие ограничения, и передача файлов cookie блокируется только для межсайтовых запросов, таких как запрос изображения или загрузка контента через iframe.
Различие между «строгим» и «слабым» сводится к блокировке файлов cookie при переходе по ссылке.
Прочие изменения
Из других предстоящих изменений, ожидаемых в будущих версиях Chrome, планируется строгий лимит, запрещающий обработку сторонних файлов cookie для запросов без HTTPS (с атрибутом SameSite = None файлы cookie можно установить только в безопасном режиме).
Кроме того, планируется работа по защите от использования отпечатков пальцев браузера, включая методы генерации идентификаторов на основе косвенных данных, таких как разрешение экрана, список поддерживаемых типов MIME, конкретные параметры в заголовках (HTTP / 2 и HTTPS), анализ плагинов и установленных шрифтов.
А также доступность определенных веб-API, Специальные функции рендеринга видеокарт с использованием WebGL и Canvas, манипуляции с CSS, анализ характеристик мыши и клавиатуры.
Кроме того, в Chrome будет защита от lзлоупотребления, связанные с сложность возврата к исходной странице после переключения на другой сайт (хорошая реализация против сайтов, которые перенаправляют вас между страницами).
Речь идет о практике насыщения истории конверсий серией автоматических перенаправлений или искусственного добавления фиктивных записей в историю просмотров (через pushState), в результате чего пользователь не может использовать кнопку «Назад» для возврата. исходная страница после случайного перехода или принудительной пересылки на мошеннический сайт.
Чтобы защититься от подобных манипуляций, Chrome в обработчике кнопки "Назад" будет пропускать журналы, связанные с автоматической переадресацией, и манипулировать историей посещений., оставляя открытыми только страницы с явными действиями пользователя.
источник: https://blog.chromium.org/
И как именно устанавливается cookie?