Google Chrome
Google оголосив про введення майбутніх змін у Chrome, призначений для поліпшення конфіденційності. Перший частина змін відноситься до обробки файлів cookie та підтримки атрибута SameSite.
Починаючи з випуску Chrome версії 76 (очікується в липні), буде активовано торгову марку "cookie-файли на тому самому сайті" що за відсутності атрибута SameSite у заголовку Set-Cookie значення "SameSite = Lax" буде встановлено за замовчуванням, що обмежує надсилання файлів cookie.
Для вставок сторонніх сайтів (але сайти все одно зможуть зняти обмеження, очевидно, встановивши SameSite = None при встановленні файлу cookie).
Атрибут SameSite дозволяє веб-браузер (хром) визначити ситуації, в яких передача файлів cookie є прийнятною коли запит надходить із веб-сайту третьої сторони.
В даний час браузер надсилає файли cookie на будь-який запит на сайт, для якого встановлені файли cookie, навіть якщо спочатку відкрито інший сайт, а дзвінок здійснюється опосередковано, завантажуючи зображення або використовуючи iframe.
Про SameSite
Рекламні мережі використовують цю функцію для відстеження переміщення користувачів між сайтами та зловмисники для організації атак CSRF(Коли відкривається контрольований зловмисником ресурс, запит приховується зі своїх сторінок на інший сайт, де поточний користувач аутентифікується, а браузер користувача встановлює файли cookie сеансу для цього запиту.)
З іншого боку, можливість надсилання файлів cookie на сторонні сайти використовується для вставки віджетів на сторінки, наприклад, для інтеграції з YouTube або Facebook.
Використовуючи атрибут SameSite, ви можете контролювати поведінку під час встановлення файлів cookie і дозволяти надсилання файлів cookie лише у відповідь на запити, ініційовані з веб-сайту, з якого ці файли cookie були отримані спочатку.
SameSite може приймати три значення "Strict", "Lax" і "None".
У суворому режимі ("Строгий")Файли cookie не надсилаються для будь-якого типу міжсайтових запитів, включаючи всі вхідні посилання із зовнішніх сайтів.
В режимі "Розслаблений": Застосовуються більш м'які обмеження, і передача файлів cookie блокується лише для міжсайтових запитів, таких як запит на зображення або завантаження вмісту через iframe.
Різниця між "" Суворим "і" Неміцним "зводиться до блокування файлів cookie, коли переходить за посиланням.
Інші зміни
З інших майбутніх змін, які очікуються для майбутніх версій Chrome, планується суворий ліміт, який забороняє обробку сторонніх файлів cookie для запитів без HTTPS (з атрибутом SameSite = None, файли cookie можна встановити лише в безпечному режимі).
Крім того, планується робота щодо захисту від використання відбитків пальців у браузері, включаючи методи генерації ідентифікаторів на основі непрямих даних, таких як роздільна здатність екрана, перелік підтримуваних типів MIME, конкретні параметри в заголовках (HTTP / 2 та HTTPS), аналіз плагінів та встановлених шрифтів.
А також наявність певних веб-API, Спеціальні функції візуалізації відеокарти за допомогою WebGL і Canvas, маніпуляції CSS, аналіз характеристик миші та клавіатури.
Крім того, Chrome матиме захист від lзловживання, пов'язані з труднощі повернення на початкову сторінку після переходу на інший сайт (хороша реалізація проти сайтів, які переспрямовують вас між сторінками).
Мова йде про практику насичення історії перетворень низкою автоматичних перенаправлення або штучним додаванням фіктивних записів в історію перегляду (через pushState), в результаті чого користувач не може за допомогою кнопки «Назад» повернутися. оригінальна сторінка після випадкового переходу або примусового пересилання на сайт шахрайства.
Щоб захиститися від таких маніпуляцій, Chrome у обробнику кнопки "Назад" буде пропускати журнали, пов'язані з автоматичним пересиланням, та маніпулювати історією відвідувань, залишаючи відкритими лише сторінки з явними діями користувача.
Фуенте: https://blog.chromium.org/
І як саме встановлюється cookie?