这个新的IETF规范描述了一个可以在HTTP头中设置的新属性。被称为“SameSite”的属性必须由网站所有者设置,并应描述可以加载网站cookie的情况。
“严格”的SameSite属性意味着cookie只能加载到“同一站点”。设置诸如“lax”或“none”之类的属性也允许将cookie加载到其他站点上。
TL; DR:默认为`SameSite = Lax`。需要跨站点访问的人可以通过`SameSite = None`选择进入现状,但这样做也需要断言`Secure`。
- Mike West(@mikewest),2019年5月7日
通俗地说,这会在cookie之间创建一个分界线,这将成为以太网同一站点或跨站点cookie。
谷歌希望网站所有者能够更新他们的网站并将他们用于敏感操作的旧cookie(例如登录操作和管理每站点设置)转换为同站点cookie。
所有没有SameSite标头的旧Cookie都会自动使用“none”属性,Chrome会将其视为跨网站 - 或跟踪 - Cookie。
谷歌今天表示,它计划在Chrome的设置面板中添加选项,以便用户可以查看“网站如何使用Cookie,以及更简单的跨站点Cookie控制”。
目前还不清楚这些“更简单的控件”是否会让用户完全阻止跨站点(跟踪)cookie,但Google承诺将在今年晚些时候预览这些功能。
随着Firefox 60的发布,Firefox自2018年4月起增加了对跨站点cookie的支持。自2016年以来,Chrome已经支持同站点cookie,但浏览器将开始要求该属性从今年晚些时候开始。
作为额外的好处,使用相同站点cookie的网站也可以防止一系列攻击,例如跨站点请求伪造(CSRF)攻击。使用同站点cookie意味着第三方网站上加载的恶意代码无法在另一个域上拉取和读取cookie - 因为cookie标题中的“SameSite:strict”属性会阻止这种情况发生。
即使谷歌不承诺增加控制来阻止跨站点(跟踪)cookie,只需支持SameSite属性,谷歌将大大改善许多网站和网络应用程序的安全状况,因为CRSF攻击是今天最常见的。
有关SameSite IETF规范的更多详细信息 - 目前是草案 - 可在RFC 6265,MDN门户网站以及Google web.dev教程网站上的这篇介绍性博客文章中找到。
防指纹保护
也可以看看
10个危险的app漏洞需要注意(免费PDF)
但谷歌工程师今天还在I / O 2019开发者大会上宣布了Chrome的第二个主要新隐私功能。
据谷歌称,该公司计划增加对阻止某些类型的“用户指纹识别”技术的支持,这些技术被在线广告商滥用。
谷歌没有详细说明它计划阻止哪种类型的用户指纹识别技术。值得一提的是,有很多,从扫描本地安装的系统字体到滥用HTML5画布元素,以及测量用户的设备屏幕大小到读取本地安装的扩展。
阻止指纹脚本/技术的第一个主要浏览器是Tor浏览器,它必须这样做以防止其用户的去匿名化。此功能后来被移植回Firefox浏览器,就像Mozilla一样,也转向了公司在2017年底开始实施的隐私优先方法。
现在,在一个以新用户为中心的服务和功能的公告为中心的I / O大会上,谷歌表示Chrome也将获得反指纹识别功能。
该公司今天表示,“由于指纹识别既不透明也不受用户控制,因此跟踪不会影响用户的选择。”
“这就是为什么Chrome计划更积极地限制网络上的指纹识别。我们这样做的一种方法是减少浏览器被动指纹识别的方式,这样我们就可以检测并干预有效的指纹识别工作。发生。”
但为什么!?!
一些用户可能会问自己为什么谷歌 - 一家通过在线广告和跟踪用户获得大部分利润的公司 - 现在正在发布这些隐私功能,这些功能预计会对其业务产生重大影响。
答案很简单。谷歌正试图控制在线广告利润的最终下降,而广告拦截器扩展程序采用“焦土”方法来阻止侵入式跟踪脚本。
最近几个月,该公司已经在Chrome中包含了一个基本的广告拦截器,甚至还试图通过对其扩展生态系统进行极具争议的更新来阻止广告拦截器。
广告拦截器即将停留,谷歌目前最好的机会是通过设置自己对用户默认访问的隐私和广告拦截功能的严格控制来减少损害 - 试图在用户之前控制整个生态系统太习惯了目前的状况。