В Chrome появится защита от передачи сторонних Cookie и скрытой идентификации
Компания Google представила грядущие изменения в Chrome, нацеленные на повышение конфиденциальности. Первая часть изменений касается обработки Cookie и поддержки атрибута SameSite. Начиная с выпуска Chrome 76, ожидаемого в июле, будет активирован флаг «same-site-by-default-cookies», который в случае отсутствие атрибута SameSite в заголовке Set-Cookie по умолчанию будет выставлять значение «SameSite=Lax», ограничивающее отправку Cookie для вставкок со сторонних сайтов (но сайты по-прежнему смогут отменить ограничение, явно выставляя при установке Cookie значение SameSite=None).
Атрибут SameSite позволяет определять ситуации, в которых допустима передача Cookie при поступлении запроса со стороннего сайта. В настоящее время браузер передаёт Cookie на любой запрос к сайту, для которого имеются выставленные Cookie, даже если изначально открыт другой сайт, а обращение осуществляется косвенно при помощи загрузки картинки или через iframe. Рекламные сети используют данную особенность для отслеживания перемещений пользователя между сайтами, а злоумышленники для организации CSRF-атак (при открытии подконтрольного атакующим ресурса с его страниц скрыто отправляется запрос на другой сайт, на котором аутентифицирован текущий пользователь, и браузер пользователя выставляет для такого запроса сессионные Cookie). С другой стороны возможность отправки Cookie на сторонние сайты применяется для вставки на страницы виджетов, например, для интеграции с YuoTube или Facebook.
При помощи атрибута SameSit можно управлять поведением при выставлении Cookie и разрешить отправку Cookie только в ответ на запросы, инициированные с сайта, с которого эти Cookie изначально были получены. SameSite может принимать три значения «Strict», «Lax» и «None». В режиме 'Strict' Cookie не отправляются для любых видов межсайтовых запросов, включая все входящие ссылки с внешних сайтов. В режиме 'Lax' применяются более мягкие ограничения и передача Cookie блокируется только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe. Отличие «Strict» и «Lax» сводятся к блокировке Cookie при переходе по ссылке.
Из других предстоящих изменений также намечается применение жёсткого ограничения, запрещающего обработку сторонних Cookie для запросов без HTTPS (с атрибутом SameSite=None Cookie смогут выставляться только в режиме Secure). Кроме того, планируется выполнение работы по защите от применения скрытой идентификации («browser fingerprinting»), включая методы генерации идентификаторов на основе косвенных данных, таких как разрешение экрана, список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 и HTTPS), анализ установленных плагинов и шрифтов, доступность определённых Web API, специфичные для видеокарт особенности отрисовки при помощи WebGL и Canvas, манипуляции с CSS, анализ особенностей работы с мышью и клавиатурой.
Кроме того в Chrome будет добавлена защита от злоупотреблений, связанных с затруднением возврата на исходную страницу после перехода на другой сайт. Речь ведётся о практике захламления истории переходов серией автоматических редиректов или искусственным добавлением фиктивных записей в историю просмотров (через pushState), в результате чего пользователь не может воспользоваться кнопкой «Back» для возврата на исходную страницу после случайного перехода или принудительного проброса на сайт мошенников или вредителей. Для защиты от подобных манипуляций Chrome в обработчике кнопки Back будет пропускать записи, связанные с автоматическими пробросами и манипуляциями с историей посещений, оставляя только страницы, открытие при явных действиях пользователя.
© OpenNet