da Martin Brinkmann su Maggio 08, 2019 in Google Chrome – Nessun commento
Google prevede di migliorare il controllo dei cookie e delle protezioni nelle prossime versioni del browser web Chrome.
La società ha rivelato i piani per modificare la modalità di funzionamento dei cookie fondamentalmente nel browser web di terze parti contesti.
Google Chrome farà uso del SameSite cookie attributo di applicare il nuovo comportamento impostando a lax per impostazione predefinita. Che cosa questo significa, in sostanza, è che il browser Chrome non inviare i cookie con il cross-site richieste di più.
SameSite supporta i tre valori non impostato, lax e rigorosa, non impostare il valore predefinito in Internet di oggi. SameSite definisce i diritti di accesso ai cookie e l’attributo non viene impostata, l’invio di cookie non è limitato.
Un valore di stretta d’altro canto evita che i cookie vengano inviati a tutti i siti di tutte le cross-browsing contesti. In altre parole, i cookie vengono inviati solo se il richiedente sito corrisponde al sito che viene visualizzato nella barra degli indirizzi del browser.
Lax è un compromesso tra sicurezza e comodità. Un valore Lax sarebbe ancora bloccare l’invio dei cookie di terze parti contesti, ad esempio, quando richiesto da un sito diverso, ma sarebbe consentire i cookie per essere inviato se l’utente dovrebbe seguire un link al sito.
“SameSite” attributo limita il campo di applicazione del cookie in modo che esso solo essere allegata alla richiesta se tali richieste sono nello stesso sito, come definito dall’algoritmo nella Sezione 5.2. Per esempio, le richieste di https://example.com/sekrit-image” attaccare nello stesso sito i cookie, se
e solo se avviato da un contesto in cui “il sito per i cookie” è “example.com”.Se il “SameSite” valore dell’attributo è “Stretto”, il cookie sarà inviato solo insieme “nello stesso sito le richieste di”. Se il valore è “Lax”, il cookie viene inviato dallo stesso sito le richieste, e con “cross-site” di livello superiore navigazioni, come descritto nella Sezione 5.3.7.1. (via IETF)
Gli sviluppatori e i gestori del sito si dovrà definire SameSite valori esplicitamente se hanno bisogno di valori diversi. Se non, los angeles è imposto.
Il cambiamento ha conseguenze significative. Primo, è benefico per la sicurezza in quanto protegge i cookie di tipo cross-site iniezioni e di divulgazione dei dati attacchi CSRF (Cross Site Request Forgery) per impostazione predefinita. Google prevede di limitare il cross-site cookie per garantire contesti (HTTPS) in futuro per migliorare la privacy ulteriormente.
Google Chrome nuovi cookie controlla che “consentono agli utenti di cancellare tutti i cookie” senza impatto per ogni singolo “cookie di dominio”, in modo che gli account di accesso e set di preferenze di un singolo dominio cookie sono conservati.
Chrome per gli utenti che eseguono versioni di sviluppo di Chrome potrebbe sperimentare nuove SameSite impostazioni predefinite già.
- SameSite per impostazione predefinita, i cookie applica il valore Lax per tutti i cookie che non si specifica il SameSite attributo: Carico chrome://flags/#nello stesso sito-by-default-cookies Attivata.
- Cookies senza SameSite deve essere sicuro richiede che tutti i cookie senza SameSite attributo deve essere Protetto come bene. I cookie che non riescono a farlo, sarà respinta. Carico chrome://flags/#biscotti-senza-stesso-sito-deve-essere-secure e impostare su attivato.
- Riavviare Google Chrome
Nota che alcuni siti possono rompere quando si attiva questi in Google Chrome. È possibile annullare le modifiche in qualsiasi momento mediante l’impostazione di esperimenti di Default o Disabili.
Mozilla ha introdotto SameSite supporto a Firefox 60.
Parole Di Chiusura
Non è chiaro ancora quando nuovi controlli o regolamento è attuato in Chrome Stabile. Chrome Canary gli utenti possono testare alcuni già. La funzionalità consente di migliorare le protezioni contro CSRF e altri attacchi in modo significativo.
Ora È: Come si fa a trattare con i cookie nel tuo browser?