Chrome protegerá contra la transferencia de cookies de terceros e identificación oculta
Google ha dado a conocer la introducción de los cambios futuros en Chrome, destinados a mejorar la privacidad. La primera parte de los cambios se refiere al manejo de cookies y al soporte del atributo SameSite.
A partir del lanzamiento de la versión de Chrome 76 (que se espera para julio), se activará la marca “same-site-by-default-cookies” que, en ausencia del atributo SameSite en el encabezado Set-Cookie, se establecerá de forma predeterminada el valor “SameSite = Lax” que limita el envío de cookies.
Para inserciones de sitios de terceros (pero los sitios aún podrán eliminar la restricción, obviamente configurando SameSite = None al configurar la cookie).
El atributo SameSite le permite al navegador web (Chrome) definir situaciones en las que la transferencia de cookies es aceptable cuando una solicitud proviene de un sitio de terceros.
Actualmente, el navegador envía Cookies a cualquier solicitud al sitio para el cual hay cookies establecidas, incluso si se abre inicialmente otro sitio y la llamada se realiza indirectamente mediante la descarga de una imagen o mediante un iframe.
Sobre SameSite
Las redes publicitarias utilizan esta función para rastrear el movimiento de usuarios entre sitios y los atacantes para organizar ataques CSRF(cuando se abre un recurso controlado por un atacante, una solicitud se oculta de sus páginas a otro sitio en el que se autentica al usuario actual, y el navegador del usuario configura cookies de sesión para dicha solicitud).
Por otro lado, la capacidad de enviar cookies a sitios de terceros se utiliza para insertar widgets en las páginas, por ejemplo, para integrarse con YouTube o Facebook.
Al usar el atributo SameSite, se puede controlar el comportamiento al configurar las cookies y permitir el envío de cookies solo en respuesta a las solicitudes iniciadas desde el sitio desde el cual se recibieron originalmente estas cookies.
SameSite puede tomar tres valores “Strict”, “Lax” y “None”.
En el modo estricto (“Strict”): las cookies no se envían para ningún tipo de solicitudes entre sitios, incluidos todos los enlaces entrantes de sitios externos.
En el modo “Lax”: se aplican restricciones más suaves y la transferencia de cookies solo se bloquea para las solicitudes cruzadas entre sitios, como una solicitud de imagen o la descarga de contenido a través de un iframe.
La distinción entre “”Strict” y “Lax” se reduce a bloquear las cookies cuando se sigue un enlace.
Otros cambios
De los otros próximos cambios que se esperan para futuras versiones de Chrome, se planea aplicar un límite estricto que prohíba el procesamiento de cookies de terceros para solicitudes sin HTTPS (con el atributo SameSite = None, las cookies solo se pueden configurar en modo Seguro).
Además, está previsto llevar a cabo trabajos para protegerse contra el uso de la identificación oculta (“browser fingerprinting”), incluidos los métodos para generar identificadores basados en datos indirectos, como la resolución de pantalla, una lista de tipos MIME compatibles, parámetros específicos en los encabezados ( HTTP / 2 y HTTPS ), análisis de complementos y fuentes instalados.
Así como la disponibilidad de ciertas API web, funciones de representación específicas de la tarjeta de video usando WebGL y Canvas, manipulacionesCon CSS, análisis de las características del mouse y teclado .
Además, a Chrome se le agregará protección contra los abusos asociados con la dificultad de volver a la página original después de cambiar a otro sitio (una buena implementación, contra sitios que te redirigen entre paginas).
Estamos hablando de la práctica de saturar el historial de conversión con una serie de redirecciones automáticas o agregar artificialmente entradas ficticias al historial de navegación (a través de pushState), como resultado de lo cual el usuario no puede usar el botón “Atrás” para regresar a la página original después de una transición aleatoria o un reenvío forzado a un sitio de estafa.
Para protegerse contra tales manipulaciones, Chrome en el controlador del botón Atrás omitirá los registros asociados con el reenvío automático y la manipulación del historial de visitas, dejando solo las páginas abiertas con acciones explícitas del usuario.
Fuente: https://blog.chromium.org/
El artículo Chrome protegerá contra la transferencia de cookies de terceros e identificación oculta ha sido originalmente publicado en Ubunlog.