Нещодавно Про свій намір заявили розробники Google протягом наступних двох років повністю призупинити підтримку Chrome сторонніх файлів cookie встановлюється при доступі до веб-сайтів, відмінних від домену поточної сторінки, оскільки ці файли cookie використовуються для відстеження переміщення користувачів між веб-сайтами в коді рекламних мереж, віджетах соціальних медіа та системах веб-аналітики.
це рух, який також йде рука об руку, с заклик, який розробники Chromium зробили на своїх форумах мають намір видалити заголовок User-Agent а також обмеження доступу до властивості navigator.userAgent у JavaScript.
Всі це пов’язано з ініціативою “Пісочниця конфіденційності” з метою досягнення компромісу між необхідністю збереження конфіденційності користувачів та бажанням рекламних мереж та сайтів відстежувати уподобання відвідувачів.
До кінця цього року в тестовому режимі спочатку, очікується включення додаткових API у браузері для вимірювання конверсії та персоналізації реклами без використання сторонніх файлів cookie.
Визначити категорію інтересукористувачі без особистого засвідчення особи та без посилання на історію відвідувань певних сайтів, Рекламним мережам пропонується використовувати Floc APIОкрім оцінки активності користувачів після переходу на рекламу, вимірювання конверсії API та відокремлення користувачів без використання ідентифікаторів між веб-сайтами за допомогою Token API Trust.
Ми активно працюємо по всій екосистемі, щоб надати браузерам, видавцям, розробникам та рекламодавцям можливість експериментувати з цими новими механізмами, перевіряти, чи добре вони працюють у різних ситуаціях, та розробляти реалізації підтримки, включаючи націлювання та вимірювання реклами, відмову в запобіганні службі (DoS), антиспам / шахрайство та об'єднана автентифікація.
Розробка специфікацій, пов’язаних з показом цільової реклами без порушення конфіденційності, здійснюється окремою робочою групою, створеною організацією W3C.
В даний час в контексті для захисту від передачі файлів cookie під час атак CSRF використовується атрибут SameSite зазначений у заголовку Set-Cookie, який за станом на Chrome 76 за замовчуванням має значення "SameSite = Lax", обмежуючи надсилання файлів cookie зі сторонніх сайтів, але сайти можуть зняти обмеження, явно встановивши SameSite = None, коли встановлення файлу cookie.
Атрибут SameSite може приймати два значення "строгий" або "слабкий".
- У "суворому" режимі файли cookie не надсилаються для будь-якого типу міжсайтових запитів.
- У режимі `` неміцно '' застосовуються більш легкі обмеження, і передача файлів cookie блокується лише для вторинних запитів між веб-сайтами, таких як запит зображення або завантаження вмісту через iframe.
У наступній версії Chrome 80 (який запланований на 4 лютого) діятиме обмеження Більш суворий що забороняє обробку сторонніх файлів cookie для запитів, відмінних від HTTPS (з атрибутом SameSite = None, файли cookie можна встановлювати лише в безпечному режимі).
Крім того, триває робота над впровадженням інструментів для виявлення та захисту від використання прихованих методів обходу ідентифікації та відстеження ("відбитки пальців браузера").
У Firefox версії 69 за замовчуванням файли cookie ігноруються усіма сторонніми системами відстеження.
Google вважає це блокування виправданим, але воно вимагає попередньої підготовки веб-екосистеми та надання альтернативних API для вирішення завдань, для яких раніше використовувалися сторонні файли cookie, не порушуючи конфіденційність та не підриваючи моделі монетизації веб-сайтів, що фінансуються через показ реклами.
У відповідь на блокування файлів cookie без надання альтернативи рекламні мережі не зупинили відстеження, а лише перейшли на використання більш досконалих методів, заснованих на прихованій ідентифікації користувача (відбиток пальця) або створення окремих субдоменів для трекера в домені сайту, на якому розміщено рекламу відображається.
Фуенте: https://blog.chromium.org