谷歌計(jì)劃在Chrome中添加對(duì)兩個(gè)新的隱私和安全功能的支持，即同站點(diǎn)cookie和防指紋保護(hù)。這兩項(xiàng)功能今天已在公司的I / O 2019開(kāi)發(fā)者大會(huì)上公布，并且沒(méi)有提供截止日期，這兩項(xiàng)功能將在明年推出Chrome設(shè)備。同站點(diǎn)COOKIE谷歌計(jì)劃推出的最大變化是關(guān)于它如何處理cookie文件。這些新控件將基于Chrome和Mozilla開(kāi)發(fā)人員已經(jīng)使用三年多的新IETF標(biāo)準(zhǔn)。

這個(gè)新的IETF規(guī)范描述了一個(gè)可以在HTTP頭中設(shè)置的新屬性。被稱為“SameSite”的屬性必須由網(wǎng)站所有者設(shè)置，并應(yīng)描述可以加載網(wǎng)站cookie的情況。

“嚴(yán)格”的SameSite屬性意味著cookie只能加載到“同一站點(diǎn)”。設(shè)置諸如“lax”或“none”之類的屬性也允許將cookie加載到其他站點(diǎn)上。

TL; DR：默認(rèn)為`SameSite = Lax`。需要跨站點(diǎn)訪問(wèn)的人可以通過(guò)`SameSite = None`選擇進(jìn)入現(xiàn)狀，但這樣做也需要斷言`Secure`。

- Mike West(@mikewest)，2019年5月7日

通俗地說(shuō)，這會(huì)在cookie之間創(chuàng)建一個(gè)分界線，這將成為以太網(wǎng)同一站點(diǎn)或跨站點(diǎn)cookie。

谷歌希望網(wǎng)站所有者能夠更新他們的網(wǎng)站并將他們用于敏感操作的舊cookie(例如登錄操作和管理每站點(diǎn)設(shè)置)轉(zhuǎn)換為同站點(diǎn)cookie。

所有沒(méi)有SameSite標(biāo)頭的舊Cookie都會(huì)自動(dòng)使用“none”屬性，Chrome會(huì)將其視為跨網(wǎng)站 - 或跟蹤 - Cookie。

谷歌今天表示，它計(jì)劃在Chrome的設(shè)置面板中添加選項(xiàng)，以便用戶可以查看“網(wǎng)站如何使用Cookie，以及更簡(jiǎn)單的跨站點(diǎn)Cookie控制”。

目前還不清楚這些“更簡(jiǎn)單的控件”是否會(huì)讓用戶完全阻止跨站點(diǎn)(跟蹤)cookie，但Google承諾將在今年晚些時(shí)候預(yù)覽這些功能。

隨著Firefox 60的發(fā)布，F(xiàn)irefox自2018年4月起增加了對(duì)跨站點(diǎn)cookie的支持。自2016年以來(lái)，Chrome已經(jīng)支持同站點(diǎn)cookie，但瀏覽器將開(kāi)始要求該屬性從今年晚些時(shí)候開(kāi)始。

作為額外的好處，使用相同站點(diǎn)cookie的網(wǎng)站也可以防止一系列攻擊，例如跨站點(diǎn)請(qǐng)求偽造(CSRF)攻擊。使用同站點(diǎn)cookie意味著第三方網(wǎng)站上加載的惡意代碼無(wú)法在另一個(gè)域上拉取和讀取cookie - 因?yàn)閏ookie標(biāo)題中的“SameSite：strict”屬性會(huì)阻止這種情況發(fā)生。

即使谷歌不承諾增加控制來(lái)阻止跨站點(diǎn)(跟蹤)cookie，只需支持SameSite屬性，谷歌將大大改善許多網(wǎng)站和網(wǎng)絡(luò)應(yīng)用程序的安全狀況，因?yàn)镃RSF攻擊是今天最常見(jiàn)的。

有關(guān)SameSite IETF規(guī)范的更多詳細(xì)信息 - 目前是草案 - 可在RFC 6265，MDN門戶網(wǎng)站以及Google web.dev教程網(wǎng)站上的這篇介紹性博客文章中找到。

防指紋保護(hù)

也可以看看

10個(gè)危險(xiǎn)的app漏洞需要注意(免費(fèi)PDF)

但谷歌工程師今天還在I / O 2019開(kāi)發(fā)者大會(huì)上宣布了Chrome的第二個(gè)主要新隱私功能。

據(jù)谷歌稱，該公司計(jì)劃增加對(duì)阻止某些類型的“用戶指紋識(shí)別”技術(shù)的支持，這些技術(shù)被在線廣告商濫用。

谷歌沒(méi)有詳細(xì)說(shuō)明它計(jì)劃阻止哪種類型的用戶指紋識(shí)別技術(shù)。值得一提的是，有很多，從掃描本地安裝的系統(tǒng)字體到濫用HTML5畫布元素，以及測(cè)量用戶的設(shè)備屏幕大小到讀取本地安裝的擴(kuò)展。

阻止指紋腳本/技術(shù)的第一個(gè)主要瀏覽器是Tor瀏覽器，它必須這樣做以防止其用戶的去匿名化。此功能后來(lái)被移植回Firefox瀏覽器，就像Mozilla一樣，也轉(zhuǎn)向了公司在2017年底開(kāi)始實(shí)施的隱私優(yōu)先方法。

現(xiàn)在，在一個(gè)以新用戶為中心的服務(wù)和功能的公告為中心的I / O大會(huì)上，谷歌表示Chrome也將獲得反指紋識(shí)別功能。

該公司今天表示，“由于指紋識(shí)別既不透明也不受用戶控制，因此跟蹤不會(huì)影響用戶的選擇。”

“這就是為什么Chrome計(jì)劃更積極地限制網(wǎng)絡(luò)上的指紋識(shí)別。我們這樣做的一種方法是減少瀏覽器被動(dòng)指紋識(shí)別的方式，這樣我們就可以檢測(cè)并干預(yù)有效的指紋識(shí)別工作。發(fā)生。”

但為什么!?!

一些用戶可能會(huì)問(wèn)自己為什么谷歌 - 一家通過(guò)在線廣告和跟蹤用戶獲得大部分利潤(rùn)的公司 - 現(xiàn)在正在發(fā)布這些隱私功能，這些功能預(yù)計(jì)會(huì)對(duì)其業(yè)務(wù)產(chǎn)生重大影響。

答案很簡(jiǎn)單。谷歌正試圖控制在線廣告利潤(rùn)的最終下降，而廣告攔截器擴(kuò)展程序采用“焦土”方法來(lái)阻止侵入式跟蹤腳本。

最近幾個(gè)月，該公司已經(jīng)在Chrome中包含了一個(gè)基本的廣告攔截器，甚至還試圖通過(guò)對(duì)其擴(kuò)展生態(tài)系統(tǒng)進(jìn)行極具爭(zhēng)議的更新來(lái)阻止廣告攔截器。

廣告攔截器即將停留，谷歌目前最好的機(jī)會(huì)是通過(guò)設(shè)置自己對(duì)用戶默認(rèn)訪問(wèn)的隱私和廣告攔截功能的嚴(yán)格控制來(lái)減少損害 - 試圖在用戶之前控制整個(gè)生態(tài)系統(tǒng)太習(xí)慣了目前的狀況。