谷歌Chrome支持相同站點(diǎn)的cookies 獲得反指紋保護(hù)

谷歌計(jì)劃在Chrome中增加兩個新的隱私和安全功能，即同站點(diǎn)cookie和反指紋保護(hù)。

這兩項(xiàng)功能今天都在公司的I/O 2019開發(fā)者大會上公布了，并沒有給出這兩項(xiàng)功能明年安裝Chrome的最后期限。

谷歌計(jì)劃推出的最大變化是它處理cookie文件的方式。

這些新的控件將基于一個新的IETF標(biāo)準(zhǔn)，Chrome和Mozilla開發(fā)人員已經(jīng)為此工作了三年多。

這個新的IETF規(guī)范描述了一個可以在HTTP頭文件中設(shè)置的新屬性。被稱為“SameSite”的屬性必須由網(wǎng)站所有者設(shè)置，并且應(yīng)該描述可以加載網(wǎng)站cookie的情況。

一個相同的屬性“strict”將意味著cookie只能加載在“相同的站點(diǎn)”上。設(shè)置“l(fā)ax”或“none”等屬性將允許在其他站點(diǎn)加載cookie。

DR:默認(rèn)為' SameSite=Lax '。需要跨站點(diǎn)訪問的用戶可以選擇通過“SameSite=None”進(jìn)入現(xiàn)狀，但是這樣做也需要維護(hù)“安全”。

用外行人的術(shù)語來說，這在cookie之間創(chuàng)建了一條分界線，它將成為以太相同站點(diǎn)或跨站點(diǎn)的cookie。

谷歌希望網(wǎng)站所有者能夠更新他們的網(wǎng)站，并將他們用于敏感操作(如登錄操作和管理每個站點(diǎn)的設(shè)置)的舊cookie轉(zhuǎn)換為相同站點(diǎn)的cookie。

所有沒有SameSite標(biāo)頭的舊cookie將自動使用“none”屬性，Chrome將把它們視為跨站點(diǎn)(或跟蹤)cookie。

谷歌今天表示，它計(jì)劃在Chrome的設(shè)置面板中添加選項(xiàng)，這樣用戶就可以查看“網(wǎng)站是如何使用cookie的，以及對跨站點(diǎn)cookie的更簡單的控制?！?/p>

目前還不清楚這些“更簡單的控制”是否會讓用戶完全阻止跨站點(diǎn)(跟蹤)cookie，但谷歌承諾將在今年晚些時(shí)候預(yù)覽這些功能。

自2018年4月以來，隨著Firefox 60的發(fā)布，F(xiàn)irefox增加了對跨站點(diǎn)cookie的支持。自2016年以來，Chrome一直支持同站點(diǎn)cookie，但從今年晚些時(shí)候開始，瀏覽器將開始要求該屬性。

另一個好處是，使用相同站點(diǎn)cookie的網(wǎng)站也可以免受一系列攻擊，比如跨站點(diǎn)請求偽造(CSRF)攻擊。使用相同站點(diǎn)的cookie意味著加載在第三方網(wǎng)站上的惡意代碼無法拉取和讀取另一個域上的cookie——因?yàn)閏ookie頭部的“SameSite: strict”屬性將阻止這種情況的發(fā)生。

即使谷歌不會兌現(xiàn)其承諾，僅僅通過支持SameSite屬性來添加控制來阻止跨站點(diǎn)(跟蹤)cookie，谷歌也將極大地改善許多網(wǎng)站和web應(yīng)用程序的安全狀況，因?yàn)镃RSF攻擊是當(dāng)今最常見的攻擊之一。

關(guān)于SameSite IETF規(guī)范(目前是草案)的更多細(xì)節(jié)可以在RFC 6265、MDN門戶以及谷歌的web.dev教程站點(diǎn)上的這篇介紹性博客文章中找到。

但是谷歌的工程師們也在今天的I/O 2019開發(fā)者大會上宣布了Chrome的第二個主要的隱私功能。

根據(jù)谷歌，該公司計(jì)劃增加對某些類型的“用戶指紋”技術(shù)的支持，這些技術(shù)正被在線廣告商濫用。

谷歌沒有詳細(xì)說明它計(jì)劃屏蔽哪些類型的用戶指紋識別技術(shù)。值得一提的是，有很多方法，從掃描本地安裝的系統(tǒng)字體到濫用HTML5 canvas元素，從測量用戶的設(shè)備屏幕大小到讀取本地安裝的擴(kuò)展名。

第一個阻止指紋識別腳本/技術(shù)的主要瀏覽器是Tor瀏覽器，它必須這樣做，以防止其用戶的去匿名化。這一功能后來又被重新移植到Firefox瀏覽器中，就像Mozilla在2017年下半年開始轉(zhuǎn)向隱私優(yōu)先的方式一樣。

現(xiàn)在，在一個I/O會議上，圍繞著為用戶發(fā)布新的隱私服務(wù)和功能，谷歌說Chrome也將接受反指紋功能。

該公司今天表示:“由于指紋識別既不透明，也不受用戶控制，因此導(dǎo)致追蹤結(jié)果不尊重用戶的選擇?！?/p>

這就是為什么Chrome計(jì)劃更嚴(yán)格地限制網(wǎng)絡(luò)上的指紋識別。我們將采取的一種方式是減少瀏覽器被動指紋識別的方式，這樣我們就可以在主動指紋識別發(fā)生時(shí)對其進(jìn)行檢測和干預(yù)?！?/p>

一些用戶可能會問自己，谷歌公司的大部分利潤來自在線廣告和跟蹤用戶，為什么現(xiàn)在要推出這些隱私功能，預(yù)計(jì)這將對其業(yè)務(wù)產(chǎn)生重大影響。

答案很簡單。谷歌試圖通過擴(kuò)展廣告攔截器來控制在線廣告利潤的最終下降。

最近幾個月，谷歌甚至在Chrome瀏覽器中加入了一個基本的廣告攔截器，甚至試圖通過對其擴(kuò)展生態(tài)系統(tǒng)的一次極具爭議性的升級來消除廣告攔截器。

廣告阻滯劑在這里留下來,和谷歌現(xiàn)在是最好的機(jī)會,減少他們的損失通過設(shè)置在公司控制的默認(rèn)隱私和進(jìn)行功能用戶可以訪問,試圖控制整個生態(tài)系統(tǒng)在用戶太用于事務(wù)的當(dāng)前狀態(tài)。