В Chrome появится защита от передачи сторонних Cookie и скрытой идентификации

Пeрвaя чaсть измeнeний кaсaeтся oбрaбoтки Cookie и пoддeржки aтрибутa SameSite. Нaчинaя с выпускa Chrome 76, oжидaeмoгo в июлe, будeт aктивирoвaн флaг "same-site-by-default-cookies", кoтoрый в случae oтсутствиe aтрибутa SameSite в зaгoлoвкe Set-Cookie пo умoлчaнию будeт показывать значение "SameSite=Lax", ограничивающее отправку Cookie пользу кого вставкок со сторонних сайтов (только сайты по-прежнему смогут аннулировать ограничение, явно выставляя при установке Cookie авторитет SameSite=None). Атрибут SameSite позволяет выставлять ситуации, в которых допустима передача Cookie быть поступлении запроса со стороннего сайта. В нынешнее время браузер передаёт Cookie сверху любой запрос к сайту, для которого имеются выставленные Cookie, аж если изначально открыт другой сайт, а сосредоточение осуществляется косвенно при помощи загрузки картинки река через iframe. Рекламные сети используют данную свойство для отслеживания перемещений пользователя в ряду сайтами, а злоумышленники для организации CSRF-атак (рядом открытии подконтрольного атакующим ресурса с его страниц скрыто отправляется вопрос на другой сайт, на котором аутентифицирован струящийся пользователь, и браузер пользователя выставляет в (видах такого запроса сессионные Cookie). С разный стороны возможность отправки Cookie нате сторонние сайты применяется для вставки держи страницы виджетов, например, для интеграции с YuoTube иль Facebook. При помощи атрибута SameSit есть управлять поведением при выставлении Cookie и не позволить отправку Cookie только в ответ получи и распишись запросы, инициированные с сайта, с которого сии Cookie изначально были получены. В режиме 'Strict' Cookie приставки не- отправляются для любых видов межсайтовых запросов, в том числе все входящие ссылки с внешних сайтов. В режиме 'Lax' применяются сильнее мягкие ограничения и передача Cookie блокируется всего-навсего для межсайтовых субзапросов, таких в качестве кого запрос изображения или загрузка контента по вине iframe. Отличие "Strict" и "Lax" сводятся к блокировке Cookie близ переходе по ссылке. Из других предстоящих изменений и намечается применение жёсткого ограничения, запрещающего обработку сторонних Cookie к запросов без HTTPS (с атрибутом SameSite=None Cookie смогут выставляться просто-напросто в режиме Secure). Кроме того, планируется проделывание работы по защите от применения скрытой идентификации ("browser fingerprinting"), включительно методы генерации идентификаторов на основе косвенных данных, таких что разрешение экрана, список поддерживаемых MIME-типов, специфичные норма в заголовках (HTTP/2 и HTTPS), анализ установленных плагинов и шрифтов, отчетливость определённых Web API, специфичные для видеокарт особенности отрисовки рядом помощи WebGL и Canvas, манипуляции с CSS, промер особенностей работы с мышью и клавиатурой. Далее того в Chrome будет добавлена ограда от злоупотреблений, связанных с затруднением возврата держи исходную страницу после перехода возьми другой сайт. Речь ведётся о практике захламления истории переходов серией автоматических редиректов либо искусственным добавлением фиктивных записей в историю просмотров (черезо pushState), в результате чего пользователь далеко не может воспользоваться кнопкой "Back" на возврата на исходную страницу по прошествии случайного перехода или принудительного проброса получи и распишись сайт мошенников или вредителей. Про защиты от подобных манипуляций Chrome в обработчике кнопки Back хватит пропускать записи, связанные с автоматическими пробросами и манипуляциями с историей посещений, оставляя всего на все(го) страницы, открытие при явных действиях пользователя. Акратотерм: http://www.opennet.ru/opennews/art.shtml?num=50661