Google Chrome
Spoločnosť Google oznámila zavedenie budúcich zmien v prehliadači Chrome, ktorých cieľom je zlepšenie súkromia. Prvý časť zmien sa týka zaobchádzania s cookies a podpory atribútu SameSite.
Počnúc vydaním prehliadača Chrome verzie 76 (očakáva sa v júli), značka „rovnaké-predvolené-súbory cookie“ sa aktivuje že pri absencii atribútu SameSite v hlavičke Set-Cookie bude predvolene nastavená hodnota „SameSite = Lax“, ktorá obmedzuje odosielanie cookies.
Pre vloženia webov tretích strán (ale weby budú aj naďalej schopné obmedziť odstránenie, samozrejme nastavením SameSite = None pri nastavovaní súboru cookie).
Atribút SameSite umožňuje webový prehliadač (Chromium) definovať situácie, v ktorých je prenos súborov cookie prijateľný keď žiadosť pochádza zo stránky tretej strany.
Prehliadač v súčasnosti odosiela súbory cookie na akúkoľvek žiadosť na web, pre ktorý sú nastavené súbory cookie, a to aj v prípade, že je pôvodne otvorený iný web a hovor sa uskutoční nepriamo stiahnutím obrázka alebo použitím prvku iframe.
O spoločnosti SameSite
Reklamné siete používajú túto funkciu na sledovanie pohyb používateľov medzi stránkami a útočníci organizovať útoky CSRF(Po otvorení prostriedku kontrolovaného útočníkom sa požiadavka skryje z jeho stránok na inú lokalitu, kde je overený aktuálny používateľ, a prehliadač používateľa nastaví pre túto požiadavku súbory cookie relácie.)
Na druhej strane, možnosť odosielať súbory cookie na webové stránky tretích strán sa používa na vkladanie widgetov na stránky, napríklad na integráciu s YouTube alebo Facebookom.
Pomocou atribútu SameSite môžete ovládať správanie pri nastavovaní súborov cookie a povoliť odosielanie súborov cookie iba ako odpoveď na žiadosti iniciované webom, z ktorého boli tieto súbory cookie pôvodne prijaté.
Rovnaký web môže mať tri hodnoty „Strict“, „Lax“ a „None“.
V prísnom režime („Prísne“)Súbory cookie sa neodosielajú pre žiadny typ požiadaviek medzi stránkami, vrátane všetkých prichádzajúcich odkazov z externých stránok.
V režime "Lax": Platia mäkšie obmedzenia a prenos súborov cookie je blokovaný iba pri požiadavkách medzi stránkami, ako je napríklad žiadosť o obrázok alebo sťahovanie obsahu prostredníctvom prvku iframe.
Rozlišovanie medzi „„ Striktným “a„ Laxom “spočíva v blokovaní súborov cookie, keď sa použije odkaz.
Iné zmeny
Z ďalších pripravovaných zmien očakávaných pre budúce verzie prehliadača Chrome, plánuje sa uplatniť prísny limit, ktorý zakazuje spracovanie súborov cookie tretích strán pre požiadavky bez HTTPS (s atribútom SameSite = None, cookies je možné nastaviť iba v Núdzovom režime).
Ďalej sa plánuje ochrana proti použitiu odtlačkov prstov prehliadača, vrátane metód generovania identifikátorov na základe nepriamych údajov, ako je rozlíšenie obrazovky, zoznam podporovaných typov MIME, špecifické parametre v hlavičkách (HTTP / 2 a HTTPS), analýza doplnkov a nainštalovaných písiem.
Rovnako ako dostupnosť určitých webových rozhraní API„Funkcie vykresľovania špecifické pre grafickú kartu pomocou WebGL a Canvas, manipulácie s CSS, analýza charakteristík myši a klávesnice.
Okrem toho bude mať Chrome ochranu proti lzneužívania spojené s ťažkosti s návratom na pôvodnú stránku po prechode na inú stránku (dobrá implementácia, proti stránkam, ktoré vás presmerujú medzi stránkami).
Hovoríme o praxi nasýtenia histórie konverzií sériou automatických presmerovaní alebo umelom pridávaní fiktívnych záznamov do histórie prehliadania (cez pushState), v dôsledku čoho sa užívateľ nemôže pomocou tlačidla «Späť» vrátiť späť. pôvodná stránka po náhodnom prechode alebo vynútenom preposlaní na podvodný web.
Na ochranu pred takýmito manipuláciami Prehliadač Chrome v ovládači tlačidiel späť preskočí protokoly spojené s automatickým preposielaním a manipuláciou histórie návštev, pričom zostanú otvorené iba stránky s explicitnými akciami používateľa.
Fuente: https://blog.chromium.org/
A ako presne je nastavený súbor cookie?