Chrome จะป้องกันการถ่ายโอนคุกกี้ของบุคคลที่สามและข้อมูลประจำตัวที่ซ่อนอยู่

Google ได้ประกาศเปิดตัวการเปลี่ยนแปลงในอนาคตของ Chromeมีวัตถุประสงค์เพื่อปรับปรุงความเป็นส่วนตัว ครั้งแรก ส่วนหนึ่งของการเปลี่ยนแปลง หมายถึงการจัดการคุกกี้และการสนับสนุนแอตทริบิวต์ SameSite

เริ่มจากการเปิดตัว Chrome เวอร์ชัน 76 (คาดว่าในเดือนกรกฎาคม)  แบรนด์ "ไซต์เดียวกันโดยค่าเริ่มต้นคุกกี้" จะถูกเปิดใช้งาน ในกรณีที่ไม่มีแอตทริบิวต์ SameSite ในส่วนหัว Set-Cookie ค่า "SameSite = Lax" จะถูกกำหนดโดยค่าเริ่มต้นซึ่งจะ จำกัด การส่งคุกกี้

สำหรับการแทรกไซต์ของบุคคลที่สาม (แต่ไซต์จะยังคงสามารถลบข้อ จำกัด ได้โดยการตั้งค่า SameSite = None เมื่อตั้งค่าคุกกี้)

แอตทริบิวต์ SameSite อนุญาตให้เว็บเบราว์เซอร์ (โครเมียม) กำหนดสถานการณ์ที่ยอมรับการถ่ายโอนคุกกี้ เมื่อมีคำขอมาจากไซต์ของบุคคลที่สาม

ปัจจุบันเบราว์เซอร์ส่งคุกกี้ตามคำร้องขอใด ๆ ไปยังไซต์ที่ตั้งค่าคุกกี้แม้ว่าไซต์อื่นจะเปิดขึ้นในตอนแรกและการโทรนั้นเกิดขึ้นโดยอ้อมโดยการดาวน์โหลดรูปภาพหรือใช้ iframe

เกี่ยวกับ SameSite

เครือข่ายโฆษณาใช้คุณลักษณะนี้ในการติดตาม การเคลื่อนไหวของผู้ใช้ระหว่างไซต์ และผู้โจมตีเพื่อจัดการโจมตี CSRF(เมื่อเปิดทรัพยากรที่ควบคุมโดยผู้โจมตีคำขอจะถูกซ่อนจากหน้าเว็บไปยังไซต์อื่นที่มีการตรวจสอบสิทธิ์ผู้ใช้ปัจจุบันและเบราว์เซอร์ของผู้ใช้จะตั้งค่าคุกกี้เซสชันสำหรับคำขอนั้น)

ในทางกลับกันความสามารถในการส่งคุกกี้ไปยังไซต์ของบุคคลที่สามจะใช้เพื่อแทรกวิดเจ็ตบนหน้าเว็บเช่นเพื่อรวมเข้ากับ YouTube หรือ Facebook

โดยใช้แอตทริบิวต์ SameSite คุณสามารถควบคุมพฤติกรรมเมื่อตั้งค่าคุกกี้ และอนุญาตให้ส่งคุกกี้ตามคำขอที่เริ่มต้นจากไซต์ที่ได้รับคุกกี้เหล่านี้ในตอนแรกเท่านั้น

SameSite สามารถรับค่าได้ XNUMX ค่า "เข้มงวด" "หละหลวม" และ "ไม่มี"

ในโหมดเข้มงวด ("เข้มงวด")จะไม่มีการส่งคุกกี้สำหรับคำขอข้ามไซต์ทุกประเภทรวมถึงลิงก์ขาเข้าทั้งหมดจากไซต์ภายนอก

ในโหมด "หละหลวม": ใช้ข้อ จำกัด ที่นุ่มนวลกว่าและการถ่ายโอนคุกกี้จะถูกบล็อกสำหรับคำขอข้ามไซต์เท่านั้นเช่นคำขอรูปภาพหรือการดาวน์โหลดเนื้อหาผ่าน iframe

ความแตกต่างระหว่าง "" เข้มงวด "และ" หละหลวม "มาจากการบล็อกคุกกี้เมื่อมีการติดตามลิงก์

การเปลี่ยนแปลงอื่น ๆ

การเปลี่ยนแปลงที่จะเกิดขึ้นอื่น ๆ ที่คาดว่าจะเกิดขึ้นกับ Chrome เวอร์ชันอนาคต มีการวางแผนที่จะใช้ขีด จำกัด ที่เข้มงวดซึ่งห้ามไม่ให้มีการประมวลผลคุกกี้ของบุคคลที่สาม สำหรับคำขอที่ไม่มี HTTPS (ด้วยแอตทริบิวต์ SameSite = None สามารถตั้งค่าคุกกี้ได้ในเซฟโหมดเท่านั้น)

นอกจากนี้ยังมีการวางแผนงานเพื่อป้องกันการใช้ลายนิ้วมือของเบราว์เซอร์รวมถึงวิธีการสร้างตัวระบุตามข้อมูลทางอ้อมเช่นความละเอียดหน้าจอรายการประเภท MIME ที่รองรับพารามิเตอร์เฉพาะในส่วนหัว (HTTP / 2 และ HTTPS) การวิเคราะห์ ของปลั๊กอินและแบบอักษรที่ติดตั้ง

ตลอดจนความพร้อมใช้งานของ API เว็บบางรายการ, ฟังก์ชั่นการเรนเดอร์เฉพาะการ์ดวิดีโอโดยใช้ WebGL และ Canvas, การปรับแต่ง CSS, การวิเคราะห์คุณสมบัติของเมาส์และคีย์บอร์ด

นอกจากนี้ Chrome จะมีการป้องกันลการละเมิดที่เกี่ยวข้องกับ ความยากลำบากในการกลับไปที่หน้าเดิม หลังจากเปลี่ยนไปใช้ไซต์อื่น (การใช้งานที่ดีกับไซต์ที่เปลี่ยนเส้นทางคุณไปมาระหว่างหน้าต่างๆ)

เรากำลังพูดถึงวิธีปฏิบัติในการทำให้ประวัติ Conversion อิ่มตัวด้วยชุดการเปลี่ยนเส้นทางอัตโนมัติหรือการเพิ่มรายการหลอกในประวัติการเข้าชม (ผ่าน pushState) ซึ่งเป็นผลมาจากการที่ผู้ใช้ไม่สามารถใช้ปุ่ม«ย้อนกลับ»เพื่อย้อนกลับไปที่ หน้าเดิมหลังจากการเปลี่ยนแปลงแบบสุ่มหรือบังคับให้ส่งต่อไปยังไซต์หลอกลวง

เพื่อป้องกันการหลอกลวงดังกล่าว Chrome ในตัวจัดการปุ่มย้อนกลับจะข้ามบันทึกที่เกี่ยวข้องกับการส่งต่ออัตโนมัติและการจัดการประวัติการเข้าชมโดยปล่อยให้เปิดเฉพาะเพจที่มีการกระทำของผู้ใช้อย่างชัดเจน

Fuente: https://blog.chromium.org/