The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Chrome появится защита от передачи сторонних Cookie и скрытой идентификации

10.05.2019 10:30

Компания Google представила грядущие изменения в Chrome, нацеленные на повышение конфиденциальности. Первая часть изменений касается обработки Cookie и поддержки атрибута SameSite. Начиная с выпуска Chrome 76, ожидаемого в июле, будет активирован флаг "same-site-by-default-cookies", который в случае отсутствие атрибута SameSite в заголовке Set-Cookie по умолчанию будет выставлять значение "SameSite=Lax", ограничивающее отправку Cookie для вставок со сторонних сайтов (но сайты по-прежнему смогут отменить ограничение, явно выставляя при установке Cookie значение SameSite=None).

Атрибут SameSite позволяет определять ситуации, в которых допустима передача Cookie при поступлении запроса со стороннего сайта. В настоящее время браузер передаёт Cookie на любой запрос к сайту, для которого имеются выставленные Cookie, даже если изначально открыт другой сайт, а обращение осуществляется косвенно при помощи загрузки картинки или через iframe. Рекламные сети используют данную особенность для отслеживания перемещений пользователя между сайтами, а злоумышленники для организации CSRF-атак (при открытии подконтрольного атакующим ресурса с его страниц скрыто отправляется запрос на другой сайт, на котором аутентифицирован текущий пользователь, и браузер пользователя выставляет для такого запроса сессионные Cookie). С другой стороны возможность отправки Cookie на сторонние сайты применяется для вставки на страницы виджетов, например, для интеграции с YouTube или Facebook.

При помощи атрибута SameSite можно управлять поведением при выставлении Cookie и разрешить отправку Cookie только в ответ на запросы, инициированные с сайта, с которого эти Cookie изначально были получены. SameSite может принимать три значения "Strict", "Lax" и "None". В режиме 'Strict' Cookie не отправляются для любых видов межсайтовых запросов, включая все входящие ссылки с внешних сайтов. В режиме 'Lax' применяются более мягкие ограничения и передача Cookie блокируется только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe. Отличие "Strict" и "Lax" сводятся к блокировке Cookie при переходе по ссылке.

Из других предстоящих изменений также намечается применение жёсткого ограничения, запрещающего обработку сторонних Cookie для запросов без HTTPS (с атрибутом SameSite=None Cookie смогут выставляться только в режиме Secure). Кроме того, планируется выполнение работы по защите от применения скрытой идентификации ("browser fingerprinting"), включая методы генерации идентификаторов на основе косвенных данных, таких как разрешение экрана, список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 и HTTPS), анализ установленных плагинов и шрифтов, доступность определённых Web API, специфичные для видеокарт особенности отрисовки при помощи WebGL и Canvas, манипуляции с CSS, анализ особенностей работы с мышью и клавиатурой.

Кроме того в Chrome будет добавлена защита от злоупотреблений, связанных с затруднением возврата на исходную страницу после перехода на другой сайт. Речь ведётся о практике захламления истории переходов серией автоматических редиректов или искусственным добавлением фиктивных записей в историю просмотров (через pushState), в результате чего пользователь не может воспользоваться кнопкой "Back" для возврата на исходную страницу после случайного перехода или принудительного проброса на сайт мошенников или вредителей. Для защиты от подобных манипуляций Chrome в обработчике кнопки Back будет пропускать записи, связанные с автоматическими пробросами и манипуляциями с историей посещений, оставляя только страницы, открытие при явных действиях пользователя.

  1. Главная ссылка к новости (https://blog.chromium.org/2019...)
  2. OpenNews: В Firefox Beta добавлен блокировщик скриптов майнинга и скрытой идентификации
  3. OpenNews: 0.77% крупнейших сайтов используют Canvas для скрытой идентификации посетителей
  4. OpenNews: В Firefox решено по умолчанию блокировать отслеживание перемещений между сайтами
  5. OpenNews: Google внедряет меры для противодействия вредоносным дополнениям к Chrome
  6. OpenNews: Релиз Chrome 74
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50661-chrome
Ключевые слова: chrome, cookie, fingerprint
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (61) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:35, 10/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Гугл - за приватность!
     
     
  • 2.2, Fyjybv755 (?), 10:46, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +49 +/
    Чем меньше ваших данных утечет конкурентам, тем дороже гугл сможет их продать своим кастомерам.
     
     
  • 3.5, гугель (?), 11:21, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +21 +/
    это не ваши данные, это НАШИ данные.

     
  • 3.19, NSA (??), 13:22, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И нами тоже, мы присосались к их оптическим сетям.
     
     
  • 4.29, гугель (?), 16:44, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    как присосались, так и отcocете - мы для кого, как думаете, cross-dc шифрование-то на этой опте возводили?
    Проходите в кассу, в очередь, много вас таких!
    (шутю, шутю - просто продлите на очередные пять лет срок погашения того 0% кредита и выдайте в рамках его новый транш - у вас же лишних денег много, и мы даже точно знаем, сколько их, не все ваши аутсорсеры пользуются правильным мэйлером. И ваш доступ к magic lantern не только не превратится в тыкву, но и нового полезного функционала мы туда запилим - нам ведь тоже интересно.)

     
     
  • 5.33, Заря (?), 18:03, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сейчас снимим весь дамп, а ключи сами предоставите под паяльной станицей .
     
     
  • 6.60, Michael Shigorin (ok), 23:06, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > а ключи сами предоставите

    Эх, горе-Одесса, там же все ключслова были приведены.

     
  • 3.41, Аноним (41), 20:04, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >кастомерам

    Это кто такие?

     
  • 2.31, хотел спросить (?), 17:51, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    удаляем хром
    ставим firefox
    идем в настройки приватности
    ставим галочку блокировать все 3rd-party cookies
    наслаждаемся, но некоторые говносайты, которые используют всякую кросс-аутенфикацию могут не работать
    ну и куй с ними
     
     
  • 3.35, Аноним (35), 18:11, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Такая галочка есть и с Chrome.
     
     
  • 4.40, Аноним (40), 19:40, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    надолго ли?
     
     
  • 5.46, Аноним (35), 00:05, 11/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Откуда такое недоверие к Chrome? Почему оно направлено в равной степени не в сторону Firefox, учитывая все неадекватные решения его разработчиков в последнее время?
     
     
  • 6.49, Аноним (49), 08:37, 11/05/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Вроде как потому что хром это в первую очередь средство предоставления гугл контента и сбора статистических данных.

    Или вы думаете, что менеджмент гугла производит браузер безвозмездно?

     
     
  • 7.54, Васян (?), 20:45, 11/05/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Или вы думаете, что менеджмент гугла производит браузер безвозмездно?

    Безвозмездно, то есть даром, в этом мире даже мама папу не целует. она это делает, например, из-за новой шубы или сапог, а то и из-за ЗП, которую ей Алеша отстегивает почти в полной мере...
    Что же касается Гугла и мотивации егойного менеджмента. А что если они браузер делают только лишь для того, чтобы люди могли полноценно контент просматривать, который на 99% им (Гуглу) принадлежит?
    Поразмышляй над этим на досуге...

     
     
  • 8.62, Попугай Кеша (?), 14:23, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Жестко но верно в целом ... текст свёрнут, показать
     
  • 6.55, Наноним (?), 07:41, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Откуда такое недоверие к Chrome?

    Действительно, откуда?..
    https://www.opennet.me/opennews/art.shtml?num=50013
    "От изменения манифеста Chrome пострадают дополнения для обеспечения безопасности и приватности"

     
  • 6.56, Наноним (?), 07:51, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Почему оно направлено в равной степени не в сторону Firefox

    Почитай, что такое "монополия" и почему это не очень хорошо

     
  • 3.42, Аноним (41), 20:09, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >ставим firefox

    И забываем про расширения.

     
     
  • 4.44, хотел спросить (?), 23:36, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >>ставим firefox
    > И забываем про расширения.

    уже давно профиксили..

    а в хроме реально можно скоро лишиться таких штук как uBlock Origin

    в гугле найдете подробности

     
     
  • 5.59, Аноним (59), 18:01, 12/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >пока ещё найдете подробности

    Пофиксил, не благодари.

     

  • 1.3, Аноним (-), 10:46, 10/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    С куками давно пора было сделать, лет так 10 назад.
    А вот как они будут выявлять фингерпринт ничего не поломав ума не приложу. Да и потом, если каждый раз будут новые данные отдаваться на запрос о разрешении экрана, настроек громкости, поддерживаемых плагинах и шрифтов, то смысл их вообще тогда отдавать браузеру? А по количеству фич + наличию этих изменений будет возможно точно определить, что это хром и даже какой версии (если он обманывает в юзерагенте).
     
     
  • 2.4, гугель (?), 11:20, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    а кто это вам обещал "ничего не поломав", интересно нам знать?
    Выявлять будем, поломав все к чертям, разумеется, кроме ютрупа, ga и прочих нужных и полезных вещей, которые нет, нет, не занимаются фингерпринтингом, просто собирают нужную и полезную информацию.

    что где-то на тех же куках была построена кроссдоменная аутентификация, как раз, наоборот, не тырящая лишнего -  а нам пофиг.

    зато, вот, в очередной раз энфорсим ненужношифрование - чтобы полезные и вкусные данные о вашей жизни доставались нам, а не товарищ-майору, которому мы их охотно продадим, а на халяву - нефиг!

     
     
  • 3.9, Аноним (9), 11:53, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Атдай, гугель атдай!
     
  • 3.12, Аноним (-), 12:00, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Ой да забейте вы на эти данные. На них построена современная диджитал экономика. Без них бы не было так комфортно.
    Товарища за майора вообще не должно быть в этой истории. Давно пора уже чтобы корпорации предостовляли офлайн услуги. Чтобы дедтсад можно было выбрать Гугла или Амазона там. И чтобы конкуренция была. Государства должны умереть.
     
     
  • 4.25, Gemorroj (ok), 15:02, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    какой ты нонконформист, ммм, вся теку
     
  • 4.45, хотел спросить (?), 23:39, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ой да забейте вы на эти данные. На них построена современная диджитал
    > экономика. Без них бы не было так комфортно.
    > Товарища за майора вообще не должно быть в этой истории. Давно пора
    > уже чтобы корпорации предостовляли офлайн услуги. Чтобы дедтсад можно было выбрать
    > Гугла или Амазона там. И чтобы конкуренция была. Государства должны умереть.

    куйню заменил на такую же куйню, но с названием "сладка вата"

     
  • 2.23, Ретроград (?), 14:43, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот как...

    Да несложно, простое огрубление и зашумление. Вместо 100-значной шкалы для звука будут отдавать 5-значную, например. С разрешением экрана сложнее, ибо это характеристика постоянная и популярных разрешений можно по пальцам одной руки пересчитать, но и тут можно что-нибудь придумать.

     

  • 1.6, Аноним (6), 11:24, 10/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Скрытая идентификация делается с позволения сайта, потому сайт на этом зарабатывает. Тогда что меняет это изменение, если сайт может всё включить обратно?
     
     
  • 2.11, Аноним (11), 11:59, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Причём тут вообще сайт? Сайтом рулит макак Вася, которому вломы разбираться во всяких атрибутах. Но выставляет-то атрибуты тот же, кто создаёт куку, то бишь левый скриптик, который Васе дала рекламная сеть. Поэтому там всё будет как надо, а Вася ничего и не узнает.
     

  • 1.8, Аноним (9), 11:50, 10/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Значит уже встроили другой способ идентификации. И закрыли тот которым пользуется школота.
     
     
  • 2.15, Аноним84701 (ok), 12:47, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Значит уже встроили другой способ идентификации. И закрыли тот которым пользуется школота.

    Прямо из браузера идентифицировать пользователя и собирать данные всяко удобнее.
    Есть подозрение, что миллионы (причем сотнями в год, если оно хотя бы равно мозилловским затратам на развитие браузера, а  мозилловцы  не сильно врали в своих отчетах) в свой  браузер (и его доминирование) в Гугле вкладывали совсем не из альтруистичных побуждений ;)

     

  • 1.10, Аноним (10), 11:56, 10/05/2019 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –5 +/
     

     ....ответы скрыты (5)

  • 1.17, Annoynymous (ok), 13:16, 10/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В Firefox аналогичная штука (только без возможности указать политику дл якуки со стороны сайта) включается опциями privacy.firstparty.isolate и privacy.firstparty.isolate.restrict_opener_access. Есть также расширение, которое включит обе опции для вас: https://addons.mozilla.org/ru/firefox/addon/first-party-isolation/

    Эта опция была добавлена в 55-й версии и изначально разработана для Tor Browser.

    Я пользуюсь уже год и не могу нарадоваться, что ни одна рекламная сеть про меня ничего не знает.

     
     
  • 2.21, АнониМ (ok), 13:46, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >ни одна рекламная сеть про меня ничего не знает.

    наивная буратина.

     
     
  • 3.37, Annoynymous (ok), 19:33, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Докажи
     
  • 2.22, Аноним (22), 14:15, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А можно взять uMatrix, и точно знать, что и где грузится.
     
     
  • 3.24, Аноним (24), 14:59, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Disconnect расширение это тоже умеет.
    Zen Permissions еще и пермишены расширений показывает, когда их много.
     
  • 3.34, Аноним (34), 18:06, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    uMatrix только из http-заголовков куки вырезает. Через js доступны. Лучше включить хотя бы блокировку сторонних кук настройками самого браузера, тогда не будут доступны и через js, и в заголовках. А uMatrix для другого.
     
  • 2.39, Аноним (-), 19:36, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Я пользуюсь уже год и не могу нарадоваться, что ни одна рекламная сеть про меня ничего не знает.

    из серии: "я завязал себе глаза и теперь меня никто не видит"

     
  • 2.52, Xasd (ok), 15:37, 11/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > включается опциями privacy.firstparty.isolate и privacy.firstparty.isolate.restrict_opener_access. Есть также расширение

    такая хрень должна быть ввиде стандарта, а не у пары человек кторые про неё знают.

    чтобы разработчики сайтов заведомо знили бы какие "конструкции" применять нельзя так как они не заработают (а какие вместо них можно)

     
     
  • 3.61, вейланд (?), 13:54, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Теоретически, такая фича может привести к неработоспособности некоторых сайтов. Хомячки будут недовольны и побегут в другие края.
     
  • 3.64, Annoynymous (ok), 16:38, 20/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> включается опциями privacy.firstparty.isolate и privacy.firstparty.isolate.restrict_opener_access. Есть также расширение
    > такая хрень должна быть ввиде стандарта, а не у пары человек кторые
    > про неё знают.
    > чтобы разработчики сайтов заведомо знили бы какие "конструкции" применять нельзя так как
    > они не заработают (а какие вместо них можно)

    Она и будет стандартом, когда её оттестируют.

     

  • 1.26, Аноним (26), 15:22, 10/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >  будет добавлена защита от злоупотреблений

    Обожаю современный веб - сначала понаплодить развесистых фич, позволяющих иметь хомячков во всех позах, а потом, спустя годы, по чуть-чуть их ограничивать.

     
     
  • 2.30, гугель (?), 16:50, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    причем первые прописать в виде стандарта, якобы обязательного для всех кроме нас, а вторые сделать по желанию левой пятки - "угадайте, где еще мы на стандарты забили болт"

    (нет, не переживайте, мурзила делает так же, но забивает на стандарты другими способами и в других местах - чтобы в конце-концов остался только наш интернет. Наши-то сайты и в мурзиле работать не перестанут - а перестанут, так быыыыыстро починят и извинятся перед РамзанАхматычем, так, на всякий случай. А ваши... а ваших не будет.)

     

  • 1.27, Аноним (-), 16:12, 10/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >chrome
    >защита от скрытой идентификации

    пчелы против меда!

     
     
  • 2.28, anonymous (??), 16:17, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    ... против мёда другим пчёлам
     

  • 1.32, Аноним (32), 17:58, 10/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Молодцы!
     
     
  • 2.43, Аноним (43), 21:20, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Новостной повод
     

  • 1.36, Аноним (-), 19:33, 10/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Компания Google представила грядущие изменения в Chrome, нацеленные на повышение конфиденциальности.

    - новый анекдот от Гуга

     
  • 1.38, user90 (?), 19:34, 10/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Мне вот до сих пор не ясна ЦА этого поделия. Просто-обезьяны?
     
  • 1.50, пани Мюллерова (?), 11:28, 11/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Верить нельзя никому. Мне можно. (C) Гугл.
     
  • 1.51, Аноним (51), 11:48, 11/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    я так понимаю все критикующие гугл и файрфокс пользуются яндекс.браузером?
     
  • 1.53, Аноним (53), 20:23, 11/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а если без шуток, как считать куку с другого домена ?
     
  • 1.57, Аноним (57), 09:26, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Теперь мы защитим вас, но оставим обходной путь
     
  • 1.58, Вовик (??), 09:37, 12/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Точно также рекламу конкурентов из сторонних сетей порезали - никто не имеет права использовать рекламную сеть эффективней чем у гугла. С телеметрией тоже самое.
     
  • 1.63, Попугай Кеша (?), 14:24, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот и приплыли мы с вами к тому, что теперь рулят монополии. Мечты о свободном открытом интернете канули в лету.

    Но хипстомолодежь хавает. Старшему поколению пофиг. Всем пофиг.

    Ну что, братцы-кролики, посидим еще, посмотрим, что будет, да?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру