Google Chrome
Google har meddelat införandet av framtida ändringar av Chrome, avsedda att förbättra integriteten. Den första del av förändringarna hänvisar till hanteringen av kakor och supporten för SameSite-attributet.
Börjar med lanseringen av Chrome version 76 (förväntas i juli), varumärket "samma webbplats-som-standard-kakor" aktiveras att i avsaknad av SameSite-attributet i Set-Cookie-rubriken kommer värdet "SameSite = Lax" att ställas in som standard, vilket begränsar sändningen av cookies.
För tredje parts webbplatsinlägg (men webbplatser kommer fortfarande att kunna ta bort begränsningen, uppenbarligen genom att ställa in SameSite = Ingen när du ställer in kakan).
Attribut SameSite tillåter webbläsaren (Krom) definiera situationer där överföring av cookies är acceptabelt när en begäran kommer från en tredje parts webbplats.
För närvarande skickar webbläsaren kakor på varje begäran till webbplatsen för vilken cookies är inställda, även om en annan webbplats ursprungligen öppnas och samtalet görs indirekt genom att ladda ner en bild eller använda en iframe.
Om SameSite
Annonsnätverk använder den här funktionen för att spåra användarnas rörelse mellan webbplatser och angripare för att organisera CSRF-attacker(När en angriparstyrd resurs öppnas döljs en begäran från sina sidor till en annan webbplats där den aktuella användaren är autentiserad och användarens webbläsare ställer in sessionskakor för den begäran.)
Å andra sidan används möjligheten att skicka cookies till webbplatser från tredje part för att infoga widgets på sidorna, till exempel för att integreras med YouTube eller Facebook.
Genom att använda SameSite-attributet kan du kontrollera beteendet när du ställer in cookies och tillåta sändning av cookies endast som svar på förfrågningar som initierats från webbplatsen från vilken dessa cookies ursprungligen togs emot.
SameSite kan ta tre värden "Strikt", "Lax" och "Ingen".
I strikt läge ("Sträng")- Cookies skickas inte för någon typ av förfrågningar över flera webbplatser, inklusive alla inkommande länkar från externa webbplatser.
I läge "Slapp": Mjukare begränsningar gäller och cookieöverföring blockeras endast för förfrågningar över flera webbplatser, såsom en bildförfrågan eller nedladdning av innehåll via en iframe.
Skillnaden mellan "" Strikt "och" Lax "handlar om att blockera cookies när en länk följs.
Andra förändringar
Av de andra kommande ändringarna som förväntas för framtida versioner av Chrome, det är planerat att tillämpa en strikt gräns som förbjuder behandling av tredjepartscookies för förfrågningar utan HTTPS (med attributet SameSite = Ingen kan cookies endast ställas in i felsäkert läge).
Dessutom planeras arbete för att skydda mot användningen av fingeravtryck i webbläsaren, inklusive metoder för att generera identifierare baserat på indirekta data såsom skärmupplösning, en lista över MIME-typer som stöds, specifika parametrar i rubrikerna (HTTP / 2 och HTTPS), analys av plugins och installerade teckensnitt.
Samt tillgängligheten av vissa webb-API: er, Grafikkortsspecifika återgivningsfunktioner med WebGL och Canvas, CSS-manipulationer, analys av mus- och tangentbordsegenskaper.
Dessutom har Chrome skydd mot lmissbruk i samband med svårigheten att återvända till originalsidan efter att ha bytt till en annan webbplats (en bra implementering, mot webbplatser som omdirigerar dig mellan sidor).
Vi pratar om praxis att mätta konverteringshistoriken med en serie automatiska omdirigeringar eller artificiellt lägga till dummyposter i webbhistoriken (via pushState), vilket leder till att användaren inte kan använda «Tillbaka» -knappen för att återvända. originalsidan efter en slumpmässig övergång eller tvingad återinlämning till en bluffwebbplats.
För att skydda mot sådana manipulationer, Chrome i bakåtknappshanteraren hoppar över loggar som är associerade med automatisk vidarebefordran och manipulering av besökshistorikoch lämnar endast sidorna öppna med uttryckliga användaråtgärder.
Fuente: https://blog.chromium.org/
Och exakt hur är kakan inställd?