forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Chrome появится защита от передачи сторонних Cookie и скры..."
Отправлено opennews, 10-Май-19 10:35

Компания Google представила (https://blog.chromium.org/2019/05/improving-privacy-and-secu... грядущие изменения в Chrome, нацеленные на повышение конфиденциальности. Первая часть изменений касается обработки Cookie и поддержки атрибута SameSite. Начиная с выпуска Chrome 76, ожидаемого в июле, будет активирован (https://web.dev/samesite-cookies-explained/) флаг "same-site-by-default-cookies", который в случае отсутствие атрибута SameSite в заголовке Set-Cookie по умолчанию будет выставлять значение "SameSite=Lax", ограничивающее отправку Cookie для вставкок со сторонних сайтов (но сайты по-прежнему смогут отменить ограничение, явно выставляя при установке Cookie значение SameSite=None).
Атрибут SameSite (https://tools.ietf.org/html/draft-ietf-httpbis-cookie-same-s... позволяет определять ситуации, в которых допустима передача Cookie при поступлении запроса со стороннего сайта. В настоящее время браузер передаёт Cookie на любой запрос к сайту, для которого имеются выставленные Cookie, даже если изначально открыт другой сайт, а обращение осуществляется косвенно при помощи загрузки картинки или через iframe. Рекламные сети используют данную особенность для отслеживания перемещений пользователя между сайтами, а
злоумышленники для организации CSRF-атак (https://ru.wikipedia.org/wiki/%D0%9C%D0%... (при открытии подконтрольного атакующим ресурса с его страниц скрыто отправляется запрос на другой сайт, на котором аутентифицирован текущий пользователь, и браузер пользователя выставляет для такого запроса сессионные Cookie). С другой стороны возможность отправки Cookie на сторонние сайты применяется для вставки на страницы виджетов, например, для интеграции с YuoTube или Facebook.

При помощи атрибута SameSit можно управлять поведением при выставлении Cookie и разрешить отправку Cookie только в ответ на запросы, инициированные с сайта, с которого эти Cookie изначально были получены.  SameSite может принимать три значения "Strict", "Lax" и "None". В режиме 'Strict' Cookie не отправляются для любых видов межсайтовых запросов, включая все входящие ссылки с внешних сайтов. В режиме 'Lax' применяются более мягкие ограничения и передача Cookie блокируется только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe. Отличие "Strict" и "Lax" сводятся к блокировке Cookie при переходе по ссылке.
Из других предстоящих изменений также намечается  применение  жёсткого ограничения, запрещающего обработку сторонних Cookie для запросов без HTTPS (с атрибутом SameSite=None Cookie смогут выставляться только в режиме Secure). Кроме того, планируется выполнение работы по защите от применения  скрытой идентификации ("browser fingerprinting"), включая методы генерации идентификаторов на основе косвенных данных, таких как  разрешение экрана (https://www.opennet.ru/opennews/art.shtml?num=46046), список поддерживаемых MIME-типов, специфичные параметры в заголовках  (HTTP/2 (https://www.opennet.ru/opennews/art.shtml?num=47821) и HTTPS (https://www.opennet.ru/opennews/art.shtml?num=42943)), анализ установленных плагинов и шрифтов (https://www.opennet.ru/opennews/art.shtml?num=26635), доступность определённых Web API, специфичные для видеокарт особенности (https://www.opennet.ru/opennews/art.shtml?num=48736) отрисовки при помощи WebGL и Canvas, манипуляции (https://www.opennet.ru/opennews/art.shtml?num=47902) с CSS,  анализ особенностей работы с мышью (https://www.opennet.ru/opennews/art.shtml?num=44027) и клавиатурой (https://www.opennet.ru/opennews/art.shtml?num=42685).

Кроме того в Chrome будет добавлена (https://groups.google.com/a/chromium.org/forum/?#!msg/blink-... защита от злоупотреблений, связанных с затруднением возврата на исходную страницу после перехода на другой сайт. Речь ведётся о практике захламления истории переходов серией автоматических редиректов или искусственным добавлением фиктивных записей в историю просмотров (через pushState), в результате чего пользователь не может воспользоваться кнопкой "Back" для возврата на исходную страницу после случайного перехода или принудительного проброса на сайт мошенников или вредителей. Для защиты от подобных манипуляций Chrome в обработчике кнопки Back будет  пропускать записи, связанные с автоматическими пробросами и манипуляций с историей посещений, оставляя только страницы, открытие при явных действиях пользователя.

URL: https://blog.chromium.org/2019/05/improving-privacy-and-secu...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50661

Исходное сообщение
"В Chrome появится защита от передачи сторонних Cookie и скры..." Отправлено opennews, 10-Май-19 10:35
Компания Google представила (https://blog.chromium.org/2019/05/improving-privacy-and-secu... грядущие изменения в Chrome, нацеленные на повышение конфиденциальности. Первая часть изменений касается обработки Cookie и поддержки атрибута SameSite. Начиная с выпуска Chrome 76, ожидаемого в июле, будет активирован (https://web.dev/samesite-cookies-explained/) флаг "same-site-by-default-cookies", который в случае отсутствие атрибута SameSite в заголовке Set-Cookie по умолчанию будет выставлять значение "SameSite=Lax", ограничивающее отправку Cookie для вставкок со сторонних сайтов (но сайты по-прежнему смогут отменить ограничение, явно выставляя при установке Cookie значение SameSite=None). Атрибут SameSite (https://tools.ietf.org/html/draft-ietf-httpbis-cookie-same-s... позволяет определять ситуации, в которых допустима передача Cookie при поступлении запроса со стороннего сайта. В настоящее время браузер передаёт Cookie на любой запрос к сайту, для которого имеются выставленные Cookie, даже если изначально открыт другой сайт, а обращение осуществляется косвенно при помощи загрузки картинки или через iframe. Рекламные сети используют данную особенность для отслеживания перемещений пользователя между сайтами, а злоумышленники для организации CSRF-атак (https://ru.wikipedia.org/wiki/%D0%9C%D0%... (при открытии подконтрольного атакующим ресурса с его страниц скрыто отправляется запрос на другой сайт, на котором аутентифицирован текущий пользователь, и браузер пользователя выставляет для такого запроса сессионные Cookie). С другой стороны возможность отправки Cookie на сторонние сайты применяется для вставки на страницы виджетов, например, для интеграции с YuoTube или Facebook. При помощи атрибута SameSit можно управлять поведением при выставлении Cookie и разрешить отправку Cookie только в ответ на запросы, инициированные с сайта, с которого эти Cookie изначально были получены. SameSite может принимать три значения "Strict", "Lax" и "None". В режиме 'Strict' Cookie не отправляются для любых видов межсайтовых запросов, включая все входящие ссылки с внешних сайтов. В режиме 'Lax' применяются более мягкие ограничения и передача Cookie блокируется только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe. Отличие "Strict" и "Lax" сводятся к блокировке Cookie при переходе по ссылке. Из других предстоящих изменений также намечается применение жёсткого ограничения, запрещающего обработку сторонних Cookie для запросов без HTTPS (с атрибутом SameSite=None Cookie смогут выставляться только в режиме Secure). Кроме того, планируется выполнение работы по защите от применения скрытой идентификации ("browser fingerprinting"), включая методы генерации идентификаторов на основе косвенных данных, таких как разрешение экрана (https://www.opennet.ru/opennews/art.shtml?num=46046), список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 (https://www.opennet.ru/opennews/art.shtml?num=47821) и HTTPS (https://www.opennet.ru/opennews/art.shtml?num=42943)), анализ установленных плагинов и шрифтов (https://www.opennet.ru/opennews/art.shtml?num=26635), доступность определённых Web API, специфичные для видеокарт особенности (https://www.opennet.ru/opennews/art.shtml?num=48736) отрисовки при помощи WebGL и Canvas, манипуляции (https://www.opennet.ru/opennews/art.shtml?num=47902) с CSS, анализ особенностей работы с мышью (https://www.opennet.ru/opennews/art.shtml?num=44027) и клавиатурой (https://www.opennet.ru/opennews/art.shtml?num=42685). Кроме того в Chrome будет добавлена (https://groups.google.com/a/chromium.org/forum/?#!msg/blink-... защита от злоупотреблений, связанных с затруднением возврата на исходную страницу после перехода на другой сайт. Речь ведётся о практике захламления истории переходов серией автоматических редиректов или искусственным добавлением фиктивных записей в историю просмотров (через pushState), в результате чего пользователь не может воспользоваться кнопкой "Back" для возврата на исходную страницу после случайного перехода или принудительного проброса на сайт мошенников или вредителей. Для защиты от подобных манипуляций Chrome в обработчике кнопки Back будет пропускать записи, связанные с автоматическими пробросами и манипуляций с историей посещений, оставляя только страницы, открытие при явных действиях пользователя. URL: https://blog.chromium.org/2019/05/improving-privacy-and-secu... Новость: https://www.opennet.ru/opennews/art.shtml?num=50661

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания Google представила (https://blog.chromium.org/2019/05/improving-privacy-and-security-on-web.html) 
> грядущие изменения в Chrome, нацеленные на повышение конфиденциальности. Первая часть 
> изменений касается обработки Cookie и поддержки атрибута SameSite. Начиная с выпуска 
> Chrome 76, ожидаемого в июле, будет активирован (https://web.dev/samesite-cookies-explained/) 
> флаг "same-site-by-default-cookies", который в случае отсутствие атрибута SameSite в 
> заголовке Set-Cookie по умолчанию будет выставлять значение "SameSite=Lax", ограничивающее 
> отправку Cookie для вставкок со сторонних сайтов (но сайты по-прежнему смогут 
> отменить ограничение, явно выставляя при установке Cookie значение SameSite=None).

> Атрибут SameSite (https://tools.ietf.org/html/draft-ietf-httpbis-cookie-same-site-00) 
> позволяет определять ситуации, в которых допустима передача Cookie при поступлении запроса 
> со стороннего сайта. В настоящее время браузер передаёт Cookie на любой 
> запрос к сайту, для которого имеются выставленные Cookie, даже если изначально 
> открыт другой сайт, а обращение осуществляется косвенно при помощи загрузки картинки 
> или через iframe. Рекламные сети используют данную особенность для отслеживания перемещений 
> пользователя между сайтами, а 
> злоумышленники для организации CSRF-атак (https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D0%B0%D1%8F_%D0%BF%D0%BE%D0%B4%D0%B4%D0%B5%D0%BB%D0%BA%D0%B0_%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1%81%D0%B0) 
> (при открытии подконтрольного атакующим ресурса с его страниц скрыто отправляется запрос 
> на другой сайт, на котором аутентифицирован текущий пользователь, и браузер пользователя 
> выставляет для такого запроса сессионные Cookie). С другой стороны возможность отправки 
> Cookie на сторонние сайты применяется для вставки на страницы виджетов, например, 
> для интеграции с YuoTube или Facebook.

> При помощи атрибута SameSit можно управлять поведением при выставлении Cookie и разрешить 
> отправку Cookie только в ответ на запросы, инициированные с сайта, с 
> которого эти Cookie изначально были получены.  SameSite может принимать три 
> значения "Strict", "Lax" и "None". В режиме 'Strict' Cookie не отправляются 
> для любых видов межсайтовых запросов, включая все входящие ссылки с внешних 
> сайтов. В режиме 'Lax' применяются более мягкие ограничения и передача Cookie 
> блокируется только для межсайтовых субзапросов, таких как запрос изображения или загрузка 
> контента через iframe. Отличие "Strict" и "Lax" сводятся к блокировке Cookie 
> при переходе по ссылке.

> Из других предстоящих изменений также намечается  применение  жёсткого ограничения, запрещающего 
> обработку сторонних Cookie для запросов без HTTPS (с атрибутом SameSite=None Cookie 
> смогут выставляться только в режиме Secure). Кроме того, планируется выполнение работы 
> по защите от применения  скрытой идентификации ("browser fingerprinting"), включая методы 
> генерации идентификаторов на основе косвенных данных, таких как  разрешение экрана 
> (https://www.opennet.ru/opennews/art.shtml?num=46046), список поддерживаемых MIME-типов, 
> специфичные параметры в заголовках  (HTTP/2 (https://www.opennet.ru/opennews/art.shtml?num=47821) 
> и HTTPS (https://www.opennet.ru/opennews/art.shtml?num=42943)), анализ установленных 
> плагинов и шрифтов (https://www.opennet.ru/opennews/art.shtml?num=26635), доступность 
> определённых Web API, специфичные для видеокарт особенности (https://www.opennet.ru/opennews/art.shtml?num=48736) 
> отрисовки при помощи WebGL и Canvas, манипуляции (https://www.opennet.ru/opennews/art.shtml?num=47902) 
> с CSS,  анализ особенностей работы с мышью (https://www.opennet.ru/opennews/art.shtml?num=44027) 
> и клавиатурой (https://www.opennet.ru/opennews/art.shtml?num=42685).

> Кроме того в Chrome будет добавлена (https://groups.google.com/a/chromium.org/forum/?#!msg/blink-dev/T8d4_BRb2xQ/WSdOiOFcBAAJ) 
> защита от злоупотреблений, связанных с затруднением возврата на исходную страницу после 
> перехода на другой сайт. Речь ведётся о практике захламления истории переходов 
> серией автоматических редиректов или искусственным добавлением фиктивных записей в историю 
> просмотров (через pushState), в результате чего пользователь не может воспользоваться 
> кнопкой "Back" для возврата на исходную страницу после случайного перехода или 
> принудительного проброса на сайт мошенников или вредителей. Для защиты от подобных 
> манипуляций Chrome в обработчике кнопки Back будет  пропускать записи, связанные 
> с автоматическими пробросами и манипуляций с историей посещений, оставляя только страницы, 
> открытие при явных действиях пользователя.

> URL: https://blog.chromium.org/2019/05/improving-privacy-and-security-on-web.html 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=50661

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру