Google ได้ประกาศเปิดตัวการเปลี่ยนแปลงในอนาคตของ Chromeมีวัตถุประสงค์เพื่อปรับปรุงความเป็นส่วนตัว ครั้งแรก ส่วนหนึ่งของการเปลี่ยนแปลง หมายถึงการจัดการคุกกี้และการสนับสนุนแอตทริบิวต์ SameSite
เริ่มจากการเปิดตัว Chrome เวอร์ชัน 76 (คาดว่าในเดือนกรกฎาคม) แบรนด์ "ไซต์เดียวกันโดยค่าเริ่มต้นคุกกี้" จะถูกเปิดใช้งาน ในกรณีที่ไม่มีแอตทริบิวต์ SameSite ในส่วนหัว Set-Cookie ค่า "SameSite = Lax" จะถูกกำหนดโดยค่าเริ่มต้นซึ่งจะ จำกัด การส่งคุกกี้
สำหรับการแทรกไซต์ของบุคคลที่สาม (แต่ไซต์จะยังคงสามารถลบข้อ จำกัด ได้โดยการตั้งค่า SameSite = None เมื่อตั้งค่าคุกกี้)
แอตทริบิวต์ SameSite อนุญาตให้เว็บเบราว์เซอร์ (โครเมียม) กำหนดสถานการณ์ที่ยอมรับการถ่ายโอนคุกกี้ เมื่อมีคำขอมาจากไซต์ของบุคคลที่สาม
ปัจจุบันเบราว์เซอร์ส่งคุกกี้ตามคำร้องขอใด ๆ ไปยังไซต์ที่ตั้งค่าคุกกี้แม้ว่าไซต์อื่นจะเปิดขึ้นในตอนแรกและการโทรนั้นเกิดขึ้นโดยอ้อมโดยการดาวน์โหลดรูปภาพหรือใช้ iframe
เกี่ยวกับ SameSite
เครือข่ายโฆษณาใช้คุณลักษณะนี้ในการติดตาม การเคลื่อนไหวของผู้ใช้ระหว่างไซต์ และผู้โจมตีเพื่อจัดการโจมตี CSRF(เมื่อเปิดทรัพยากรที่ควบคุมโดยผู้โจมตีคำขอจะถูกซ่อนจากหน้าเว็บไปยังไซต์อื่นที่มีการตรวจสอบสิทธิ์ผู้ใช้ปัจจุบันและเบราว์เซอร์ของผู้ใช้จะตั้งค่าคุกกี้เซสชันสำหรับคำขอนั้น)
ในทางกลับกันความสามารถในการส่งคุกกี้ไปยังไซต์ของบุคคลที่สามจะใช้เพื่อแทรกวิดเจ็ตบนหน้าเว็บเช่นเพื่อรวมเข้ากับ YouTube หรือ Facebook
โดยใช้แอตทริบิวต์ SameSite คุณสามารถควบคุมพฤติกรรมเมื่อตั้งค่าคุกกี้ และอนุญาตให้ส่งคุกกี้ตามคำขอที่เริ่มต้นจากไซต์ที่ได้รับคุกกี้เหล่านี้ในตอนแรกเท่านั้น
SameSite สามารถรับค่าได้ XNUMX ค่า "เข้มงวด" "หละหลวม" และ "ไม่มี"
ในโหมดเข้มงวด ("เข้มงวด")จะไม่มีการส่งคุกกี้สำหรับคำขอข้ามไซต์ทุกประเภทรวมถึงลิงก์ขาเข้าทั้งหมดจากไซต์ภายนอก
ในโหมด "หละหลวม": ใช้ข้อ จำกัด ที่นุ่มนวลกว่าและการถ่ายโอนคุกกี้จะถูกบล็อกสำหรับคำขอข้ามไซต์เท่านั้นเช่นคำขอรูปภาพหรือการดาวน์โหลดเนื้อหาผ่าน iframe
ความแตกต่างระหว่าง "" เข้มงวด "และ" หละหลวม "มาจากการบล็อกคุกกี้เมื่อมีการติดตามลิงก์
การเปลี่ยนแปลงอื่น ๆ
การเปลี่ยนแปลงที่จะเกิดขึ้นอื่น ๆ ที่คาดว่าจะเกิดขึ้นกับ Chrome เวอร์ชันอนาคต มีการวางแผนที่จะใช้ขีด จำกัด ที่เข้มงวดซึ่งห้ามไม่ให้มีการประมวลผลคุกกี้ของบุคคลที่สาม สำหรับคำขอที่ไม่มี HTTPS (ด้วยแอตทริบิวต์ SameSite = None สามารถตั้งค่าคุกกี้ได้ในเซฟโหมดเท่านั้น)
นอกจากนี้ยังมีการวางแผนงานเพื่อป้องกันการใช้ลายนิ้วมือของเบราว์เซอร์รวมถึงวิธีการสร้างตัวระบุตามข้อมูลทางอ้อมเช่นความละเอียดหน้าจอรายการประเภท MIME ที่รองรับพารามิเตอร์เฉพาะในส่วนหัว (HTTP / 2 และ HTTPS) การวิเคราะห์ ของปลั๊กอินและแบบอักษรที่ติดตั้ง
ตลอดจนความพร้อมใช้งานของ API เว็บบางรายการ, ฟังก์ชั่นการเรนเดอร์เฉพาะการ์ดวิดีโอโดยใช้ WebGL และ Canvas, การปรับแต่ง CSS, การวิเคราะห์คุณสมบัติของเมาส์และคีย์บอร์ด
นอกจากนี้ Chrome จะมีการป้องกันลการละเมิดที่เกี่ยวข้องกับ ความยากลำบากในการกลับไปที่หน้าเดิม หลังจากเปลี่ยนไปใช้ไซต์อื่น (การใช้งานที่ดีกับไซต์ที่เปลี่ยนเส้นทางคุณไปมาระหว่างหน้าต่างๆ)
เรากำลังพูดถึงวิธีปฏิบัติในการทำให้ประวัติ Conversion อิ่มตัวด้วยชุดการเปลี่ยนเส้นทางอัตโนมัติหรือการเพิ่มรายการหลอกในประวัติการเข้าชม (ผ่าน pushState) ซึ่งเป็นผลมาจากการที่ผู้ใช้ไม่สามารถใช้ปุ่ม«ย้อนกลับ»เพื่อย้อนกลับไปที่ หน้าเดิมหลังจากการเปลี่ยนแปลงแบบสุ่มหรือบังคับให้ส่งต่อไปยังไซต์หลอกลวง
เพื่อป้องกันการหลอกลวงดังกล่าว Chrome ในตัวจัดการปุ่มย้อนกลับจะข้ามบันทึกที่เกี่ยวข้องกับการส่งต่ออัตโนมัติและการจัดการประวัติการเข้าชมโดยปล่อยให้เปิดเฉพาะเพจที่มีการกระทำของผู้ใช้อย่างชัดเจน
Fuente: https://blog.chromium.org/
และคุกกี้ตั้งค่าอย่างไร?