Google Chrome
Google đã công bố giới thiệu các thay đổi trong tương lai cho Chrome, nhằm cải thiện quyền riêng tư. Đầu tiên một phần của những thay đổi đề cập đến việc xử lý cookie và hỗ trợ thuộc tính SameSite.
Bắt đầu với việc phát hành phiên bản Chrome 76 (dự kiến vào tháng XNUMX), nhãn hiệu "same-site-by-default-cookies" sẽ được kích hoạt rằng, trong trường hợp không có thuộc tính SameSite trong tiêu đề Set-Cookie, giá trị "SameSite = Lax" sẽ được đặt theo mặc định, điều này giới hạn việc gửi cookie.
Đối với chèn trang web của bên thứ ba (nhưng các trang web vẫn có thể loại bỏ hạn chế, hiển nhiên bằng cách đặt SameSite = Không có khi đặt cookie).
Thuộc tính SameSite cho phép trình duyệt web (Trình duyệt Chrome) xác định các tình huống mà việc chuyển cookie được chấp nhận khi một yêu cầu đến từ một trang web của bên thứ ba.
Hiện tại, trình duyệt sẽ gửi Cookie theo bất kỳ yêu cầu nào tới trang web mà cookie được đặt, ngay cả khi một trang khác được mở ban đầu và cuộc gọi được thực hiện gián tiếp bằng cách tải xuống hình ảnh hoặc sử dụng iframe.
Về SameSite
Các mạng quảng cáo sử dụng tính năng này để theo dõi sự di chuyển của người dùng giữa các trang web và những kẻ tấn công để tổ chức các cuộc tấn công CSRF(Khi một tài nguyên do kẻ tấn công kiểm soát được mở, một yêu cầu sẽ bị ẩn khỏi các trang của nó đến một trang khác nơi người dùng hiện tại được xác thực và trình duyệt của người dùng đặt cookie phiên cho yêu cầu đó.)
Mặt khác, khả năng gửi cookie đến các trang web của bên thứ ba được sử dụng để chèn các tiện ích con trên các trang, chẳng hạn như để tích hợp với YouTube hoặc Facebook.
Bằng cách sử dụng thuộc tính SameSite, bạn có thể kiểm soát hành vi khi đặt cookie và chỉ cho phép gửi cookie theo yêu cầu bắt đầu từ trang web mà từ đó những cookie này được nhận ban đầu.
SameSite có thể nhận ba giá trị "Nghiêm ngặt", "Rộng rãi" và "Không có".
Ở chế độ nghiêm ngặt ("Nghiêm khắc")Cookie không được gửi cho bất kỳ loại yêu cầu giữa các trang web, bao gồm tất cả các liên kết đến từ các trang web bên ngoài.
Trong chế độ "Lỏng lẻo": Các hạn chế nhẹ hơn được áp dụng và việc truyền cookie chỉ bị chặn đối với các yêu cầu trên nhiều trang web, chẳng hạn như yêu cầu hình ảnh hoặc tải xuống nội dung qua iframe.
Sự khác biệt giữa "" Nghiêm ngặt "và" Thiếu sót "liên quan đến việc chặn cookie khi một liên kết được theo dõi.
Các thay đổi khác
Trong số các thay đổi sắp tới khác dự kiến cho các phiên bản Chrome trong tương lai, nó được lên kế hoạch áp dụng một giới hạn nghiêm ngặt cấm xử lý cookie của bên thứ ba cho các yêu cầu không có HTTPS (với thuộc tính SameSite = Không có, cookie chỉ có thể được đặt ở chế độ An toàn).
Ngoài ra, công việc được lên kế hoạch để bảo vệ chống lại việc sử dụng dấu vân tay của trình duyệt, bao gồm các phương pháp tạo mã nhận dạng dựa trên dữ liệu gián tiếp như độ phân giải màn hình, danh sách các loại MIME được hỗ trợ, các thông số cụ thể trong tiêu đề (HTTP / 2 và HTTPS), phân tích của các plugin và phông chữ đã cài đặt.
Cũng như tính khả dụng của một số API web nhất định, Các chức năng kết xuất cụ thể của thẻ video bằng cách sử dụng thao tác WebGL và Canvas, CSS, phân tích các đặc điểm của chuột và bàn phím.
Ngoài ra, Chrome sẽ có tính năng bảo vệ chống lại llạm dụng liên quan đến khó quay lại trang gốc sau khi chuyển sang một trang khác (một cách triển khai tốt, chống lại các trang chuyển hướng bạn giữa các trang).
Chúng ta đang nói về việc thực hành bão hòa lịch sử chuyển đổi bằng một loạt chuyển hướng tự động hoặc thêm mục nhập giả vào lịch sử duyệt web (thông qua pushState) một cách giả tạo, do đó người dùng không thể sử dụng nút «Quay lại» để quay lại trang gốc sau khi chuyển đổi ngẫu nhiên hoặc chuyển tiếp bắt buộc đến một trang web lừa đảo.
Để bảo vệ khỏi những thao tác như vậy, Chrome trong trình xử lý nút quay lại sẽ bỏ qua nhật ký liên quan đến tự động chuyển tiếp và thao tác lịch sử truy cập, chỉ để lại các trang mở với các hành động rõ ràng của người dùng.
Fuente: https://blog.chromium.org/
Và chính xác thì cookie được thiết lập như thế nào?