Компания Google представила (https://blog.chromium.org/2019/05/improving-privacy-and-secu... грядущие изменения в Chrome, нацеленные на повышение конфиденциальности. Первая часть изменений касается обработки Cookie и поддержки атрибута SameSite. Начиная с выпуска Chrome 76, ожидаемого в июле, будет активирован (https://web.dev/samesite-cookies-explained/) флаг "same-site-by-default-cookies", который в случае отсутствие атрибута SameSite в заголовке Set-Cookie по умолчанию будет выставлять значение "SameSite=Lax", ограничивающее отправку Cookie для вставкок со сторонних сайтов (но сайты по-прежнему смогут отменить ограничение, явно выставляя при установке Cookie значение SameSite=None).Атрибут SameSite (https://tools.ietf.org/html/draft-ietf-httpbis-cookie-same-s... позволяет определять ситуации, в которых допустима передача Cookie при поступлении запроса со стороннего сайта. В настоящее время браузер передаёт Cookie на любой запрос к сайту, для которого имеются выставленные Cookie, даже если изначально открыт другой сайт, а обращение осуществляется косвенно при помощи загрузки картинки или через iframe. Рекламные сети используют данную особенность для отслеживания перемещений пользователя между сайтами, а
злоумышленники для организации CSRF-атак (https://ru.wikipedia.org/wiki/%D0%9C%D0%... (при открытии подконтрольного атакующим ресурса с его страниц скрыто отправляется запрос на другой сайт, на котором аутентифицирован текущий пользователь, и браузер пользователя выставляет для такого запроса сессионные Cookie). С другой стороны возможность отправки Cookie на сторонние сайты применяется для вставки на страницы виджетов, например, для интеграции с YuoTube или Facebook.
При помощи атрибута SameSit можно управлять поведением при выставлении Cookie и разрешить отправку Cookie только в ответ на запросы, инициированные с сайта, с которого эти Cookie изначально были получены. SameSite может принимать три значения "Strict", "Lax" и "None". В режиме 'Strict' Cookie не отправляются для любых видов межсайтовых запросов, включая все входящие ссылки с внешних сайтов. В режиме 'Lax' применяются более мягкие ограничения и передача Cookie блокируется только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe. Отличие "Strict" и "Lax" сводятся к блокировке Cookie при переходе по ссылке.Из других предстоящих изменений также намечается применение жёсткого ограничения, запрещающего обработку сторонних Cookie для запросов без HTTPS (с атрибутом SameSite=None Cookie смогут выставляться только в режиме Secure). Кроме того, планируется выполнение работы по защите от применения скрытой идентификации ("browser fingerprinting"), включая методы генерации идентификаторов на основе косвенных данных, таких как разрешение экрана (https://www.opennet.me/opennews/art.shtml?num=46046), список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 (https://www.opennet.me/opennews/art.shtml?num=47821) и HTTPS (https://www.opennet.me/opennews/art.shtml?num=42943)), анализ установленных плагинов и шрифтов (https://www.opennet.me/opennews/art.shtml?num=26635), доступность определённых Web API, специфичные для видеокарт особенности (https://www.opennet.me/opennews/art.shtml?num=48736) отрисовки при помощи WebGL и Canvas, манипуляции (https://www.opennet.me/opennews/art.shtml?num=47902) с CSS, анализ особенностей работы с мышью (https://www.opennet.me/opennews/art.shtml?num=44027) и клавиатурой (https://www.opennet.me/opennews/art.shtml?num=42685).
Кроме того в Chrome будет добавлена (https://groups.google.com/a/chromium.org/forum/?#!msg/blink-... защита от злоупотреблений, связанных с затруднением возврата на исходную страницу после перехода на другой сайт. Речь ведётся о практике захламления истории переходов серией автоматических редиректов или искусственным добавлением фиктивных записей в историю просмотров (через pushState), в результате чего пользователь не может воспользоваться кнопкой "Back" для возврата на исходную страницу после случайного перехода или принудительного проброса на сайт мошенников или вредителей. Для защиты от подобных манипуляций Chrome в обработчике кнопки Back будет пропускать записи, связанные с автоматическими пробросами и манипуляций с историей посещений, оставляя только страницы, открытие при явных действиях пользователя.
URL: https://blog.chromium.org/2019/05/improving-privacy-and-secu...
Новость: https://www.opennet.me/opennews/art.shtml?num=50661
Гугл - за приватность!
Чем меньше ваших данных утечет конкурентам, тем дороже гугл сможет их продать своим кастомерам.
это не ваши данные, это НАШИ данные.
И нами тоже, мы присосались к их оптическим сетям.
как присосались, так и отcocете - мы для кого, как думаете, cross-dc шифрование-то на этой опте возводили?
Проходите в кассу, в очередь, много вас таких!
(шутю, шутю - просто продлите на очередные пять лет срок погашения того 0% кредита и выдайте в рамках его новый транш - у вас же лишних денег много, и мы даже точно знаем, сколько их, не все ваши аутсорсеры пользуются правильным мэйлером. И ваш доступ к magic lantern не только не превратится в тыкву, но и нового полезного функционала мы туда запилим - нам ведь тоже интересно.)
Сейчас снимим весь дамп, а ключи сами предоставите под паяльной станицей .
> а ключи сами предоставитеЭх, горе-Одесса, там же все ключслова были приведены.
>кастомерамЭто кто такие?
удаляем хром
ставим firefox
идем в настройки приватности
ставим галочку блокировать все 3rd-party cookies
наслаждаемся, но некоторые говносайты, которые используют всякую кросс-аутенфикацию могут не работать
ну и куй с ними
Такая галочка есть и с Chrome.
надолго ли?
Откуда такое недоверие к Chrome? Почему оно направлено в равной степени не в сторону Firefox, учитывая все неадекватные решения его разработчиков в последнее время?
Вроде как потому что хром это в первую очередь средство предоставления гугл контента и сбора статистических данных.Или вы думаете, что менеджмент гугла производит браузер безвозмездно?
> Или вы думаете, что менеджмент гугла производит браузер безвозмездно?Безвозмездно, то есть даром, в этом мире даже мама папу не целует. она это делает, например, из-за новой шубы или сапог, а то и из-за ЗП, которую ей Алеша отстегивает почти в полной мере...
Что же касается Гугла и мотивации егойного менеджмента. А что если они браузер делают только лишь для того, чтобы люди могли полноценно контент просматривать, который на 99% им (Гуглу) принадлежит?
Поразмышляй над этим на досуге...
Жестко но верно (в целом)
> Откуда такое недоверие к Chrome?Действительно, откуда?..
https://www.opennet.me/opennews/art.shtml?num=50013
"От изменения манифеста Chrome пострадают дополнения для обеспечения безопасности и приватности"
> Почему оно направлено в равной степени не в сторону FirefoxПочитай, что такое "монополия" и почему это не очень хорошо
>ставим firefoxИ забываем про расширения.
>>ставим firefox
> И забываем про расширения.уже давно профиксили..
а в хроме реально можно скоро лишиться таких штук как uBlock Origin
в гугле найдете подробности
>пока ещё найдете подробностиПофиксил, не благодари.
С куками давно пора было сделать, лет так 10 назад.
А вот как они будут выявлять фингерпринт ничего не поломав ума не приложу. Да и потом, если каждый раз будут новые данные отдаваться на запрос о разрешении экрана, настроек громкости, поддерживаемых плагинах и шрифтов, то смысл их вообще тогда отдавать браузеру? А по количеству фич + наличию этих изменений будет возможно точно определить, что это хром и даже какой версии (если он обманывает в юзерагенте).
а кто это вам обещал "ничего не поломав", интересно нам знать?
Выявлять будем, поломав все к чертям, разумеется, кроме ютрупа, ga и прочих нужных и полезных вещей, которые нет, нет, не занимаются фингерпринтингом, просто собирают нужную и полезную информацию.что где-то на тех же куках была построена кроссдоменная аутентификация, как раз, наоборот, не тырящая лишнего - а нам пофиг.
зато, вот, в очередной раз энфорсим ненужношифрование - чтобы полезные и вкусные данные о вашей жизни доставались нам, а не товарищ-майору, которому мы их охотно продадим, а на халяву - нефиг!
Атдай, гугель атдай!
Ой да забейте вы на эти данные. На них построена современная диджитал экономика. Без них бы не было так комфортно.
Товарища за майора вообще не должно быть в этой истории. Давно пора уже чтобы корпорации предостовляли офлайн услуги. Чтобы дедтсад можно было выбрать Гугла или Амазона там. И чтобы конкуренция была. Государства должны умереть.
какой ты нонконформист, ммм, вся теку
> Ой да забейте вы на эти данные. На них построена современная диджитал
> экономика. Без них бы не было так комфортно.
> Товарища за майора вообще не должно быть в этой истории. Давно пора
> уже чтобы корпорации предостовляли офлайн услуги. Чтобы дедтсад можно было выбрать
> Гугла или Амазона там. И чтобы конкуренция была. Государства должны умереть.куйню заменил на такую же куйню, но с названием "сладка вата"
> А вот как...Да несложно, простое огрубление и зашумление. Вместо 100-значной шкалы для звука будут отдавать 5-значную, например. С разрешением экрана сложнее, ибо это характеристика постоянная и популярных разрешений можно по пальцам одной руки пересчитать, но и тут можно что-нибудь придумать.
Скрытая идентификация делается с позволения сайта, потому сайт на этом зарабатывает. Тогда что меняет это изменение, если сайт может всё включить обратно?
Причём тут вообще сайт? Сайтом рулит макак Вася, которому вломы разбираться во всяких атрибутах. Но выставляет-то атрибуты тот же, кто создаёт куку, то бишь левый скриптик, который Васе дала рекламная сеть. Поэтому там всё будет как надо, а Вася ничего и не узнает.
Значит уже встроили другой способ идентификации. И закрыли тот которым пользуется школота.
> Значит уже встроили другой способ идентификации. И закрыли тот которым пользуется школота.Прямо из браузера идентифицировать пользователя и собирать данные всяко удобнее.
Есть подозрение, что миллионы (причем сотнями в год, если оно хотя бы равно мозилловским затратам на развитие браузера, а мозилловцы не сильно врали в своих отчетах) в свой браузер (и его доминирование) в Гугле вкладывали совсем не из альтруистичных побуждений ;)
Я не знаю, где это ещё написать, поэтому напишу здесь.Вот этот проект ReactOS. Понимаете, пока они не составляют конкурентоспособности MS-у, их не трогают.
Но как только, так сразу. МС прикроет их в один день.И все это отлично понимают.
И поэтому команде РеактОСа выгодно, чтобы их ОС так и не стала полноценной рабочей альтернативой Windows.
Им выгодно продолжать изображать деятельность и получать деньги.
Что они собственно и делают.Я не знаю, что там лидер этого проекта и кому говорит, включая спонсоров, но реальность именно такова.
И не нужно думать, что я якобы какой-то там противник РеактОСа.
Всё совсем наоборот, я не отказался бы от бесплатной полноценной и законной Windows, но скорее сама МС сделает такую версию, чем позволит развиться РеактОСу.Кроме того, вы же прекрасно понимаете, что чтобы написать вторую Windows, денег нужно вложить немерено, а РеактОСу никто столько не даст.
Как по мне так, и спонсоры РеактОСа всё прекрасно понимают, они просто тупо пиарятся немного жертвуя проекту.
И вот этот вот цирк он со всех сторон, и каждый в этой пьесе играет свою роль, при этом прекрасно понимая, что всё это просто фарс.
а я и незнал что если не в терпёж, то можно не дожидаться новостей про ректос, а прямо писать в гуглоновости :-)
Недотерпел, вывалил сюда своё сокровище.
Какие деньги они получают? Проект с открытым исходным кодом, валяется на гите и все что у них есть - редкие донаты от простых юзеров.А если вы считаете, что они пилят бюджет, то приведите доказательства этому.
Иначе это просто опять пустые вскукареки "экспертов во всем" с opennet.
>Вот этот проект ReactOS. Понимаете, пока они не составляют конкурентоспособности MS-у, их не трогают.Этот проект донатится и из MS. Билл вообще любит донатить, это удобный путь сокращения СШАшных налогов.
Внезапно MS донатит еще и linux. Нопример первый платеж от MS Торвальдс получил в конце 1997 года, от чего в ньюсгруппах у фоннатов случился приступ яркого оргазма и родился слоган "windowsкапец111".>Но как только, так сразу. МС прикроет их в один день.
windows уже 10ка. но еще в 7ке MS ушел настолько далеко вперед, что reactos с пародией на ХР никогда не догонит MS.
Пруфы будут?
В Firefox аналогичная штука (только без возможности указать политику дл якуки со стороны сайта) включается опциями privacy.firstparty.isolate и privacy.firstparty.isolate.restrict_opener_access. Есть также расширение, которое включит обе опции для вас: https://addons.mozilla.org/ru/firefox/addon/first-party-isol.../Эта опция была добавлена в 55-й версии и изначально разработана для Tor Browser.
Я пользуюсь уже год и не могу нарадоваться, что ни одна рекламная сеть про меня ничего не знает.
>ни одна рекламная сеть про меня ничего не знает.наивная буратина.
Докажи
А можно взять uMatrix, и точно знать, что и где грузится.
Disconnect расширение это тоже умеет.
Zen Permissions еще и пермишены расширений показывает, когда их много.
uMatrix только из http-заголовков куки вырезает. Через js доступны. Лучше включить хотя бы блокировку сторонних кук настройками самого браузера, тогда не будут доступны и через js, и в заголовках. А uMatrix для другого.
> Я пользуюсь уже год и не могу нарадоваться, что ни одна рекламная сеть про меня ничего не знает.из серии: "я завязал себе глаза и теперь меня никто не видит"
> включается опциями privacy.firstparty.isolate и privacy.firstparty.isolate.restrict_opener_access. Есть также расширениетакая хрень должна быть ввиде стандарта, а не у пары человек кторые про неё знают.
чтобы разработчики сайтов заведомо знили бы какие "конструкции" применять нельзя так как они не заработают (а какие вместо них можно)
Теоретически, такая фича может привести к неработоспособности некоторых сайтов. Хомячки будут недовольны и побегут в другие края.
>> включается опциями privacy.firstparty.isolate и privacy.firstparty.isolate.restrict_opener_access. Есть также расширение
> такая хрень должна быть ввиде стандарта, а не у пары человек кторые
> про неё знают.
> чтобы разработчики сайтов заведомо знили бы какие "конструкции" применять нельзя так как
> они не заработают (а какие вместо них можно)Она и будет стандартом, когда её оттестируют.
> будет добавлена защита от злоупотребленийОбожаю современный веб - сначала понаплодить развесистых фич, позволяющих иметь хомячков во всех позах, а потом, спустя годы, по чуть-чуть их ограничивать.
причем первые прописать в виде стандарта, якобы обязательного для всех кроме нас, а вторые сделать по желанию левой пятки - "угадайте, где еще мы на стандарты забили болт"(нет, не переживайте, мурзила делает так же, но забивает на стандарты другими способами и в других местах - чтобы в конце-концов остался только наш интернет. Наши-то сайты и в мурзиле работать не перестанут - а перестанут, так быыыыыстро починят и извинятся перед РамзанАхматычем, так, на всякий случай. А ваши... а ваших не будет.)
>chrome
>защита от скрытой идентификациипчелы против меда!
... против мёда другим пчёлам
Молодцы!
Новостной повод
> Компания Google представила грядущие изменения в Chrome, нацеленные на повышение конфиденциальности.- новый анекдот от Гуга
Мне вот до сих пор не ясна ЦА этого поделия. Просто-обезьяны?
Верить нельзя никому. Мне можно. (C) Гугл.
я так понимаю все критикующие гугл и файрфокс пользуются яндекс.браузером?
а если без шуток, как считать куку с другого домена ?
Теперь мы защитим вас, но оставим обходной путь
Точно также рекламу конкурентов из сторонних сетей порезали - никто не имеет права использовать рекламную сеть эффективней чем у гугла. С телеметрией тоже самое.
Вот и приплыли мы с вами к тому, что теперь рулят монополии. Мечты о свободном открытом интернете канули в лету.Но хипстомолодежь хавает. Старшему поколению пофиг. Всем пофиг.
Ну что, братцы-кролики, посидим еще, посмотрим, что будет, да?