Google Chrome
Google, Chrome'da gelecekteki değişikliklerin getirileceğini duyurdu, gizliliği iyileştirmeyi amaçlamaktadır. Birinci değişikliklerin bir parçası tanımlama bilgilerinin işlenmesi ve SameSite özelliğinin desteklenmesi anlamına gelir.
Chrome 76 sürümünden itibaren (Temmuz ayında bekleniyor), "varsayılan olarak aynı site çerezleri" markası etkinleştirilecektir Set-Cookie başlığında SameSite özniteliğinin olmaması durumunda, "SameSite = Lax" değeri varsayılan olarak ayarlanacak ve bu da tanımlama bilgilerinin gönderilmesini sınırlandıracaktır.
Üçüncü taraf site eklemeleri için (ancak siteler, çerezi ayarlarken SameSite = Hiçbiri ayarlayarak kısıtlamayı yine de kaldırabilir).
Öznitelik SameSite web tarayıcısına izin verir (Krom) Çerez aktarımının kabul edilebilir olduğu durumları tanımlayın üçüncü taraf bir siteden bir istek geldiğinde.
Şu anda tarayıcı, çerezlerin ayarlandığı siteye herhangi bir istek üzerine, başlangıçta başka bir site açılmış ve arama bir görüntü indirilerek veya bir iç çerçeve kullanılarak dolaylı olarak yapılsa bile, Çerezleri gönderir.
SameSite hakkında
Reklam ağları bu özelliği izlemek için kullanır kullanıcıların siteler arasındaki hareketi ve saldırganların CSRF saldırılarını organize etmeleri(Saldırgan tarafından kontrol edilen bir kaynak açıldığında, bir istek, sayfalarından geçerli kullanıcının kimliğinin doğrulandığı başka bir siteye gizlenir ve kullanıcının tarayıcısı bu istek için oturum tanımlama bilgilerini ayarlar.)
Öte yandan, üçüncü taraf sitelere çerez gönderme yeteneği, sayfalara widget eklemek, örneğin YouTube veya Facebook ile entegre olmak için kullanılır.
SameSite özelliğini kullanarak, çerezleri ayarlarken davranışı kontrol edebilirsiniz. ve yalnızca bu tanımlama bilgilerinin ilk alındığı siteden başlatılan taleplere yanıt olarak tanımlama bilgilerinin gönderilmesine izin verir.
SameSite, "Katı", "Lax" ve "Yok" olmak üzere üç değer alabilir.
Katı modda ("Katı")Harici sitelerden gelen tüm bağlantılar dahil olmak üzere, herhangi bir tür çapraz site talebi için çerez gönderilmez.
Modda "Gevşek": Daha yumuşak kısıtlamalar geçerlidir ve çerez aktarımı yalnızca görüntü isteği veya iç çerçeve aracılığıyla içerik indirme gibi siteler arası istekler için engellenir.
"" Katı "ve" Lax "arasındaki fark, bir bağlantı izlendiğinde çerezlerin engellenmesine bağlıdır.
Diğer değişiklikler
Chrome'un gelecekteki sürümleri için beklenen diğer yaklaşan değişikliklerden, üçüncü taraf tanımlama bilgilerinin işlenmesini yasaklayan katı bir sınır uygulanması planlanmaktadır HTTPS'siz istekler için (SameSite = None niteliğiyle, tanımlama bilgileri yalnızca Güvenli modda ayarlanabilir).
Ek olarak, ekran çözünürlüğü, desteklenen MIME türlerinin listesi, başlıklardaki belirli parametreler (HTTP / 2 ve HTTPS), analiz gibi dolaylı verilere dayalı tanımlayıcılar oluşturma yöntemleri de dahil olmak üzere tarayıcı parmak izi kullanımına karşı koruma sağlamak için çalışma planlanmaktadır. eklentiler ve yüklü yazı tipleri.
Bazı web API'lerinin kullanılabilirliğinin yanı sıra, WebGL ve Canvas'ı kullanan ekran kartına özgü işleme işlevleri, CSS işlemleri, fare ve klavye özelliklerinin analizi.
Buna ek olarak, Chrome, kötüye kullanımile ilişkili suistimaller orijinal sayfaya dönmenin zorluğu başka bir siteye geçtikten sonra (sizi sayfalar arasında yeniden yönlendiren sitelere karşı iyi bir uygulama).
Dönüşüm geçmişini bir dizi otomatik yeniden yönlendirme ile doyurma veya göz atma geçmişine yapay girişler ekleme (pushState aracılığıyla), bunun sonucunda kullanıcının geri dönmek için «Geri» düğmesini kullanamaması uygulamasından bahsediyoruz. rastgele bir geçişten sonra orijinal sayfa veya bir dolandırıcılık sitesine zorla yönlendirme.
Bu tür manipülasyonlara karşı korunmak için, Geri düğmesi işleyicisindeki Chrome, otomatik yönlendirme ve ziyaret geçmişi manipülasyonuyla ilişkili günlükleri atlayacak, yalnızca sayfaları açık kullanıcı eylemleriyle açık bırakarak.
kaynak: https://blog.chromium.org/
Ve çerez tam olarak nasıl ayarlanır?