Google je napovedal uvedbo prihodnjih sprememb v Chromu, namenjen izboljšanju zasebnosti. Prvi del sprememb se nanaša na ravnanje s piškotki in podporo atributa SameSite.
Od izdaje Chroma različice 76 (predvidoma julija), aktivirana bo blagovna znamka "same-site-by-default-cookies" da bo, če v glavi Set-Cookie ni atributa SameSite, privzeto nastavljena vrednost "SameSite = Lax", ki omejuje pošiljanje piškotkov.
Za vložke spletnih mest tretjih oseb (vendar bodo spletna mesta še vedno lahko odstranila, očitno z nastavitvijo SameSite = None pri nastavitvi piškotka).
Atribut SameSite omogoča spletni brskalnik (krom) opredeliti primere, v katerih je prenos piškotkov sprejemljiv ko zahteva prihaja s strani tretje osebe.
Trenutno brskalnik pošlje piškotke na katero koli zahtevo spletnemu mestu, za katero so nastavljeni piškotki, tudi če je prvo mesto odprto in je klic izveden posredno s prenosom slike ali uporabo okvirja iframe.
O podjetju SameSite
Oglasna omrežja uporabljajo to funkcijo za sledenje gibanje uporabnikov med spletnimi mesti in napadalci, da organizirajo napade CSRF(Ko se odpre vir, ki ga nadzoruje napadalec, je zahteva skrita s svojih strani na drugo spletno mesto, kjer je preverjen pristnost trenutnega uporabnika, uporabnikov brskalnik pa za to zahtevo nastavi piškotke seje.)
Po drugi strani pa se možnost pošiljanja piškotkov tretjim stranem uporablja za vstavljanje pripomočkov na strani, na primer za integracijo z YouTubom ali Facebookom.
Z uporabo atributa SameSite lahko nadzorujete vedenje pri nastavitvi piškotkov in dovoli pošiljanje piškotkov samo kot odgovor na zahteve, ki se sprožijo s strani, s katere so bili ti piškotki prvotno prejeti.
SameSite ima lahko tri vrednosti "Strict", "Lax" in "None".
V strogem načinu ("Strogo")- Piškotki se ne pošiljajo za kakršne koli vrste zahtev med stranmi, vključno z vsemi vhodnimi povezavami z zunanjih spletnih mest.
V načinu "Lax": Veljajo mehkejše omejitve in prenos piškotkov je blokiran samo za zahteve med spletnimi mesti, kot so zahteve za sliko ali prenos vsebine prek okvirja iframe.
Razlika med "" Strogo "in" Lax "se nanaša na blokiranje piškotkov, ko sledite povezavi.
Druge spremembe
Od ostalih prihodnjih sprememb, pričakovanih za prihodnje različice Chroma, načrtuje se uporaba stroge omejitve, ki prepoveduje obdelavo piškotkov tretjih oseb za zahteve, ki niso HTTPS (z atributom SameSite = None, piškotke lahko nastavite samo v varnem načinu).
Poleg tega se načrtuje delo za zaščito pred uporabo prstnih odtisov brskalnika, vključno z metodami za generiranje identifikatorjev na podlagi posrednih podatkov, kot so ločljivost zaslona, seznam podprtih vrst MIME, posebni parametri v glavah (HTTP / 2 in HTTPS), analiza vtičnikov in nameščenih pisav.
Pa tudi razpoložljivost nekaterih spletnih API-jev, Funkcije upodabljanja za grafične kartice z uporabo WebGL in Canvas, manipulacije s CSS, analiza značilnosti miške in tipkovnice.
Poleg tega bo Chrome imel zaščito pred lzlorabe, povezane z težave pri vrnitvi na izvirno stran po prehodu na drugo spletno mesto (dobra izvedba proti spletnim mestom, ki vas preusmerijo med strani).
Govorimo o praksi nasičenja zgodovine pretvorb z vrsto samodejnih preusmeritev ali umetnega dodajanja navideznih vnosov v zgodovino brskanja (prek pushState), zaradi česar uporabnik ne more uporabiti gumba «Nazaj» za vrnitev. izvirna stran po naključnem prehodu ali prisilnem posredovanju na prevaro.
Da bi se zaščitili pred takimi manipulacijami, Chrome v upravljalniku gumba za nazaj bo preskočil dnevnike, povezane s samodejnim posredovanjem, in obvladal zgodovino obiskov, pri čemer ostanejo odprte samo strani z eksplicitnimi dejanji uporabnika.
vir: https://blog.chromium.org/
In kako natančno je nastavljen piškotek?