Корпорация Google в новых версиях браузера Chrome сделает упор на защиту персональной информации. В частности, компания изменит подход к обработке cookie и поддержки атрибута SameSite. Уже в 76 версии, будет по умолчанию включен флаг «same-site-by-default-cookies». Если в заголовке не будет атрибута SameSite, браузер автоматически выставит значение «SameSite=Lax», которое ограничит отправку сookie для вставок со сторонних сайтов. При этом владельцы сайтов смогут снимать это ограничение, прописывая при установке сookie параметр SameSite=None.
Атрибут SameSite дает возможность определить допустимость передачи сookie при поступлении запроса со стороннего ресурса. Сейчас сookie передаются на любой запрос к сайту, для которого обнаружены Cookie, даже в том случае, если открыт один сайт, а обращение осуществляется косвенно при помощи загрузки изображения или через iframe.
Такую возможность используют рекламные сети, чтобы отслеживать перемещения пользователя между сайтами. Кроме того, работают с опцией и злоумышленники, которые используют ее для проведения CSRF-атак. Так называют атаки, в ходе которых при открытии скомпрометированного сайта с его страниц отправляется запрос на другой сайт, где текущий пользователь залогинен. При этом браузер пользователя выставляет для указанного запроса сессионные сookie.
Стоит отметить, что возможность отправки сookie на сторонние сайты используется и для вставки на страницы виджетов, включая интеграцию с YouTube и Facebook.
SameSite дает возможность управлять поведением браузера при выставлении сookie. Например, разрешить отправку сookie лишь в ответ на запросы, которые инициированы с сайта, с которого сookie были получены изначально. Атрибут может принимать три значения: «Strict», «Lax» и «None». Strict — сookie не отправляются вообще, включая входящие ссылки с внешних сайтов. Lax — используются более мягкие ограничения, так что сookie блокируются лишь для межсайтовых запросов, например, для изображений или iframe.
Есть и вариант использования жесткого ограничения, которое запрещает обработку сторонник сookie для запросов без HTTPS. Разработчики также работают над защитой пользователя от скрытой идентификации («browser fingerprinting»). Такой метод использует косвенные данные, включая разрешение экрана, параметры заголовков HTTP/2, HTTPS, анализ плагинов и шрифтов, доступность Web API, особенности отрисовки разных видеокарт, паттерны работы с мышью и клавиатурой и т.п.
Также в новой версии Chrome применят защиту от злоупотреблений, которые связаны с затруднением возврата на исходную страницу после перехода на другой сайт. Затруднения такого рода вызываются путем искусственного добавления фиктивных записей в историю просмотров и других методов, в результате чего у пользователя нет возможности воспользоваться кнопкой Back. В новой версии Chrome обработчик кнопки будет пропускать записи, которые связаны с автоматическими пробросами и манипуляциями с историей посещений.
Еще с версии 76 поддержка Flash будет частичной — по умолчанию технология будет отключена, но ее можно вернуть в настройках «Расширенные > Приватность и безопасность > Свойства сайтов». Полное прекращение поддержки Flash планируется с 2020 года. Отключение плагина Flash от Adobe планируется уже в этом году.
Автор: marks