Google представив два експериментальних режими у Chrome, які мають зашкодити зловмисникам використовувати cookie, але водночас можуть порушити роботу деяких сайтів.
Кукі, окрім інших функцій, допомагають браузерам повідомляти сайти про вхід користувача в систему. Раніше зловмисники могли скористатися браузером для переходу на інші сторінки й отримати доступ до конфіденційної інформації. Тепер розробникам легше вручну захищати ці дані: позначенням cookie-файлів свого сайту режимами «SameSite» і «Secure».
SameSite
Коли cookie-файл має позначку SameSite, Chrome та інші браузери знають, що його не варто використовувати під час переходу з одного сайту на інший (за певних умов).
Є два види SameSite: легкий (Lax) і посилений (Strict).
Посилений режим повністю блокує використання cookie при переході з одного сайту на інший. Він найкраще підходить для сторінок з дуже високим рівнем захисту (наприклад, банківських систем). Легкий режим призначений для нормальної роботи браузерів, він блокує cookie лише при прямому під'єднанні одного сайту до певних елементів безпеки іншого.
Secure
Chrome може використовувати cookie-файли з позначкою Secure лише для безпечного (HTTPS) з'єднання. Так зловмисники не зможуть «прослуховувати» мережу користувача і копіювати його cookie-файли.
Теги Secure і SameSite корисні для безпеки мережі та користувачів, але поки що ними послуговуються лише небайдужі розробники. Видання 9to5Google пише, що розглядається можливість, аби усі cookie за замовчуванням мали позначки SameSite і Secure. Наразі у Chrome Canary доступні два нові прапорці (в chrome://flags).
Нові прапорці
Перший — #same-site-by-default-cookies — наказує сайтам використовувати SameSite, але без атрибута, що позначає cookie-файли в режимі Lax. Це повинно дещо убезпечити cookie-файли та не сильно вплинути на звички користувачів.
З другим — #cookies-without-same-site-must-be-secure — браузер захищає cookie без SameSite. Коли цей прапорець увімкнений, Chrome змушує cookie-файли без позначки SameSite бути Secure (тобто використовуватись лише для з'єднань HTTPS), якщо це можливо.
Новий підхід можна вважати дещо радикальним, адже він неминуче спричинить проблеми для тих, хто ще не перейшов на HTTPS. Вірогідно, що Google ретельно протестує нововведення перед тим, як поширити їх усюди. Поки розробники можуть користуватись новими функціями у Canary і повідомляти про складнощі та потенційні проблеми.
Ще немає коментарів