Recientemente Các nhà phát triển của Google đã công bố ý định của họ trong hai năm tới đình chỉ hoàn toàn hỗ trợ của Chrome cho cookie của bên thứ ba được thiết lập khi truy cập các trang khác với tên miền của trang hiện tại vì các cookie này được sử dụng để theo dõi chuyển động của người dùng giữa các trang trong mã của mạng quảng cáo, tiện ích truyền thông xã hội và hệ thống phân tích trang web.
Đây là một phong trào cũng đi đôi với cuộc gọi mà các nhà phát triển Chromium đã thực hiện trong diễn đàn của họ, vì họ đã định xóa tiêu đề Tác nhân người dùng cũng như hạn chế quyền truy cập vào thuộc tính Navigator.userAgent trong JavaScript.
tất cả điều này là do sáng kiến Hộp cát quyền riêng tư với mục đích đạt được sự thỏa hiệp giữa nhu cầu giữ bí mật của người dùng và mong muốn các mạng quảng cáo và trang web theo dõi sở thích của khách truy cập.
Cuối năm nay, ở chế độ thử nghiệm ban đầu, các API bổ sung dự kiến sẽ được đưa vào trong trình duyệt để đo lường chuyển đổi và cá nhân hóa quảng cáo mà không sử dụng cookie của bên thứ ba.
Để xác định danh mục quan tâmcủa người dùng mà không xác định cá nhân và không tham chiếu đến lịch sử truy cập vào các trang web cụ thể, Các mạng quảng cáo được mời sử dụng API FlocCũng như đánh giá hoạt động của người dùng sau khi chuyển sang quảng cáo, đo lường chuyển đổi API và phân tách người dùng mà không cần sử dụng số nhận dạng giữa các trang web với Token API Trust.
Chúng tôi đang tích cực làm việc trên toàn hệ sinh thái để cung cấp cho các trình duyệt, nhà xuất bản, nhà phát triển và nhà quảng cáo cơ hội thử nghiệm với các cơ chế mới này, kiểm tra xem chúng có hoạt động tốt trong các tình huống khác nhau hay không và phát triển các triển khai hỗ trợ, bao gồm cả nhắm mục tiêu và đo lường quảng cáo, từ chối Dịch vụ ngăn chặn (DoS), chống thư rác / gian lận và xác thực liên kết.
Việc phát triển các thông số kỹ thuật liên quan đến việc hiển thị quảng cáo được nhắm mục tiêu mà không vi phạm tính bảo mật được thực hiện bởi một nhóm làm việc riêng biệt do tổ chức W3C tạo ra.
Hiện tại, trong bối cảnh bảo vệ chống lại việc truyền cookie trong các cuộc tấn công CSRF, thuộc tính SameSite được sử dụng được chỉ định trong tiêu đề Set-Cookie, kể từ Chrome 76, được đặt thành "SameSite = Lax" theo mặc định, hạn chế việc gửi cookie từ các trang web của bên thứ ba, nhưng các trang web có thể xóa hạn chế bằng cách đặt rõ ràng SameSite = Không khi cài đặt cookie.
Thuộc tính SameSite có thể nhận hai giá trị 'nghiêm ngặt' hoặc 'lỏng lẻo'.
- Ở chế độ "nghiêm ngặt", cookie không được gửi cho bất kỳ loại yêu cầu nào trên nhiều trang web.
- Trong khi ở chế độ 'lỏng lẻo', các hạn chế nhẹ hơn sẽ được áp dụng và việc truyền cookie chỉ bị chặn đối với các yêu cầu phụ giữa các trang web, chẳng hạn như yêu cầu hình ảnh hoặc tải xuống nội dung qua iframe.
Trong phiên bản tiếp theo của Chrome 80 (dự kiến vào ngày 4 tháng XNUMX) một hạn chế sẽ được áp dụng Chặt chẽ hơn cấm xử lý cookie của bên thứ ba cho các yêu cầu không phải HTTPS (với thuộc tính SameSite = Không có, cookie chỉ có thể được đặt ở chế độ an toàn).
Bên cạnh đó, công việc tiếp tục về việc thực hiện các công cụ để xác định và bảo vệ khỏi việc sử dụng các phương pháp bỏ qua nhận dạng và theo dõi bí mật ("dấu vân tay của trình duyệt").
Trong Firefox từ phiên bản 69, cookie mặc định bị bỏ qua bởi tất cả các hệ thống theo dõi của bên thứ ba.
Google coi việc chặn này là hợp lý, nhưng nó yêu cầu sự chuẩn bị sơ bộ về hệ sinh thái web và cung cấp các API thay thế để giải quyết các tác vụ mà trước đó cookie của bên thứ ba đã được sử dụng, không vi phạm tính bảo mật và không phá hoại mô hình kiếm tiền của các trang web được tài trợ thông qua hiển thị các quảng cáo.
Để đối phó với việc chặn cookie mà không cung cấp giải pháp thay thế, các mạng quảng cáo đã không ngừng theo dõi mà chỉ chuyển sang sử dụng các phương pháp phức tạp hơn dựa trên nhận dạng người dùng ẩn (dấu vân tay) hoặc tạo tên miền phụ riêng biệt cho trình theo dõi trên tên miền của trang web có quảng cáo được hiển thị.
Fuente: https://blog.chromium.org