Protektahan ng Chrome laban sa paglipat ng mga third-party na cookies at nakatagong pagkakakilanlan

Darkcrizt

4 Minutos

Google Chrome

Google Chrome

Inanunsyo ng Google ang pagpapakilala ng mga pagbabago sa hinaharap sa Chrome, inilaan upang mapabuti ang privacy. Ang unang bahagi ng mga pagbabago tumutukoy sa paghawak ng mga cookies at suporta ng katangian ng SameSite.

Simula sa paglabas ng Chrome bersyon 76 (inaasahan sa Hulyo),  ang brand na "same-site-by-default-cookies" ay isasaaktibo na, sa kawalan ng katangiang SameSite sa header ng Set-Cookie, ang halagang "SameSite = Lax" ay maitatakda bilang default, na naglilimita sa pagpapadala ng mga cookies.

Para sa mga pagsingit ng site ng third party (ngunit maaalis pa rin ng mga site ang paghihigpit, malinaw naman sa pamamagitan ng pagtatakda ng SameSite = Wala kapag itinatakda ang cookie).

Katangian Pinapayagan ng SameSite ang web browser (chrome) tukuyin ang mga sitwasyon kung saan ang paglipat ng cookies ay katanggap-tanggap kapag ang isang kahilingan ay nagmula sa isang third party site.

Sa kasalukuyan, nagpapadala ang browser ng Cookies sa anumang kahilingan sa site kung saan itinakda ang cookies, kahit na may isa pang site na unang binuksan at ang tawag ay hindi direktang ginawa sa pamamagitan ng pag-download ng isang imahe o paggamit ng iframe.

Tungkol sa SameSite

Ginagamit ng mga ad network ang tampok na ito upang subaybayan ang paggalaw ng mga gumagamit sa pagitan ng mga site at mga umaatake upang ayusin ang mga pag-atake ng CSRF"

Sa kabilang banda, ang kakayahang magpadala ng mga cookies sa mga site ng third-party ay ginagamit upang magsingit ng mga widget sa mga pahina, halimbawa, upang maisama sa YouTube o Facebook.

Sa pamamagitan ng paggamit ng katangiang SameSite, maaari mong makontrol ang pag-uugali kapag nagtatakda ng cookies at payagan lamang ang pagpapadala ng cookies bilang tugon sa mga kahilingan na pinasimulan mula sa site kung saan orihinal na natanggap ang mga cookies na ito.

Ang SameSite ay maaaring tumagal ng tatlong halagang "Mahigpit", "Lax" at "Wala".

Sa mahigpit na mode ("Mahigpit")- Ang mga cookie ay hindi ipinadala para sa anumang uri ng mga kahilingan sa cross-site, kabilang ang lahat ng mga papasok na link mula sa mga panlabas na site.

Sa mode "Lax": Nalalapat ang mga mas mahigpit na paghihigpit at ang paglilipat ng cookie ay na-block lamang para sa mga kahilingan sa cross-site tulad ng isang kahilingan sa imahe o pag-download ng nilalaman sa pamamagitan ng isang iframe.

Ang pagkakaiba sa pagitan ng "" Mahigpit "at" Lax "ay bumababa sa pag-block ng cookies kapag sinusundan ang isang link.

Iba pang mga pagbabago

Sa iba pang paparating na pagbabago na inaasahan para sa mga hinaharap na bersyon ng Chrome, planong maglapat ng isang mahigpit na limitasyon na nagbabawal sa pagproseso ng mga third-party na cookies para sa mga kahilingan nang walang HTTPS (na may katangian na SameSite = Wala, ang mga cookies ay maitatakda lamang sa Safe mode).

Bilang karagdagan, pinaplano ang trabaho upang maprotektahan laban sa paggamit ng browser fingerprinting, kasama ang mga pamamaraan para sa pagbuo ng mga identifier batay sa hindi direktang data tulad ng resolusyon sa screen, isang listahan ng mga sinusuportahang uri ng MIME, mga tukoy na parameter sa mga header (HTTP / 2 at HTTPS), pagsusuri ng mga plugin at naka-install na mga font.

Pati na rin ang pagkakaroon ng ilang mga web API, Mga pagpapaandar sa pag-render ng tukoy na video card gamit ang WebGL at Canvas, mga manipulasyong CSS, pagsusuri ng mga katangian ng mouse at keyboard.

Bilang karagdagan, magkakaroon ng proteksyon ang Chrome laban sa lmga pang-aabusong nauugnay sa ang hirap bumalik sa original page pagkatapos lumipat sa isa pang site (isang mahusay na pagpapatupad, laban sa mga site na nag-redirect sa iyo sa pagitan ng mga pahina).

Pinag-uusapan natin ang tungkol sa kasanayan ng pagbabad ng kasaysayan ng conversion sa isang serye ng mga awtomatikong pag-redirect o artipisyal na pagdaragdag ng mga dummy entry sa kasaysayan ng pag-browse (sa pamamagitan ng pushState), bilang isang resulta kung saan hindi magamit ng gumagamit ang pindutang «Bumalik» upang bumalik. Bumalik sa ang orihinal na pahina pagkatapos ng isang random na paglipat o sapilitang muling pagpapadala sa isang scam site.

Upang maprotektahan laban sa mga naturang manipulasyon, Ang Chrome sa handler ng back button ay lalaktawan ang mga log na nauugnay sa auto-forwarding at pagbisita sa pagmamanipula ng kasaysayan, naiwan lamang ang mga pahina na bukas na may mga malinaw na pagkilos ng gumagamit.

Fuente: https://blog.chromium.org/


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.

  1.   Pablo dijo
    nakararaan 4 taon

    At eksaktong paano itinakda ang cookie?

    Tumugon kay pablo