您的位置: 首頁(yè) >產(chǎn)經(jīng) >

谷歌Chrome支持相同站點(diǎn)的cookies 獲得反指紋保護(hù)

2019-12-23 16:23:03 編輯: 來(lái)源:
導(dǎo)讀 谷歌計(jì)劃在Chrome中增加兩個(gè)新的隱私和安全功能,即同站點(diǎn)cookie和反指紋保護(hù)。 這兩項(xiàng)功能今天都在公司的I/O 2019開(kāi)發(fā)者大會(huì)上公布了,并沒(méi)有給出這兩項(xiàng)功能明年安裝Chrome的最后期限。 谷歌計(jì)劃推出的最大變化是它處理cookie文件的方式。 這些新的控件將基于一個(gè)新的IETF標(biāo)準(zhǔn),Chrome和Mozilla開(kāi)發(fā)人員已經(jīng)為此工作了三年多。 這個(gè)新的IETF規(guī)范描述了一個(gè)可以在HTT

谷歌計(jì)劃在Chrome中增加兩個(gè)新的隱私和安全功能,即同站點(diǎn)cookie和反指紋保護(hù)。

這兩項(xiàng)功能今天都在公司的I/O 2019開(kāi)發(fā)者大會(huì)上公布了,并沒(méi)有給出這兩項(xiàng)功能明年安裝Chrome的最后期限。

谷歌計(jì)劃推出的最大變化是它處理cookie文件的方式。

這些新的控件將基于一個(gè)新的IETF標(biāo)準(zhǔn),Chrome和Mozilla開(kāi)發(fā)人員已經(jīng)為此工作了三年多。

這個(gè)新的IETF規(guī)范描述了一個(gè)可以在HTTP頭文件中設(shè)置的新屬性。被稱為“SameSite”的屬性必須由網(wǎng)站所有者設(shè)置,并且應(yīng)該描述可以加載網(wǎng)站cookie的情況。

一個(gè)相同的屬性“strict”將意味著cookie只能加載在“相同的站點(diǎn)”上。設(shè)置“l(fā)ax”或“none”等屬性將允許在其他站點(diǎn)加載cookie。

DR:默認(rèn)為' SameSite=Lax '。需要跨站點(diǎn)訪問(wèn)的用戶可以選擇通過(guò)“SameSite=None”進(jìn)入現(xiàn)狀,但是這樣做也需要維護(hù)“安全”。

用外行人的術(shù)語(yǔ)來(lái)說(shuō),這在cookie之間創(chuàng)建了一條分界線,它將成為以太相同站點(diǎn)或跨站點(diǎn)的cookie。

谷歌希望網(wǎng)站所有者能夠更新他們的網(wǎng)站,并將他們用于敏感操作(如登錄操作和管理每個(gè)站點(diǎn)的設(shè)置)的舊cookie轉(zhuǎn)換為相同站點(diǎn)的cookie。

所有沒(méi)有SameSite標(biāo)頭的舊cookie將自動(dòng)使用“none”屬性,Chrome將把它們視為跨站點(diǎn)(或跟蹤)cookie。

谷歌今天表示,它計(jì)劃在Chrome的設(shè)置面板中添加選項(xiàng),這樣用戶就可以查看“網(wǎng)站是如何使用cookie的,以及對(duì)跨站點(diǎn)cookie的更簡(jiǎn)單的控制。”

目前還不清楚這些“更簡(jiǎn)單的控制”是否會(huì)讓用戶完全阻止跨站點(diǎn)(跟蹤)cookie,但谷歌承諾將在今年晚些時(shí)候預(yù)覽這些功能。

自2018年4月以來(lái),隨著Firefox 60的發(fā)布,F(xiàn)irefox增加了對(duì)跨站點(diǎn)cookie的支持。自2016年以來(lái),Chrome一直支持同站點(diǎn)cookie,但從今年晚些時(shí)候開(kāi)始,瀏覽器將開(kāi)始要求該屬性。

另一個(gè)好處是,使用相同站點(diǎn)cookie的網(wǎng)站也可以免受一系列攻擊,比如跨站點(diǎn)請(qǐng)求偽造(CSRF)攻擊。使用相同站點(diǎn)的cookie意味著加載在第三方網(wǎng)站上的惡意代碼無(wú)法拉取和讀取另一個(gè)域上的cookie——因?yàn)閏ookie頭部的“SameSite: strict”屬性將阻止這種情況的發(fā)生。

即使谷歌不會(huì)兌現(xiàn)其承諾,僅僅通過(guò)支持SameSite屬性來(lái)添加控制來(lái)阻止跨站點(diǎn)(跟蹤)cookie,谷歌也將極大地改善許多網(wǎng)站和web應(yīng)用程序的安全狀況,因?yàn)镃RSF攻擊是當(dāng)今最常見(jiàn)的攻擊之一。

關(guān)于SameSite IETF規(guī)范(目前是草案)的更多細(xì)節(jié)可以在RFC 6265、MDN門戶以及谷歌的web.dev教程站點(diǎn)上的這篇介紹性博客文章中找到。

但是谷歌的工程師們也在今天的I/O 2019開(kāi)發(fā)者大會(huì)上宣布了Chrome的第二個(gè)主要的隱私功能。

根據(jù)谷歌,該公司計(jì)劃增加對(duì)某些類型的“用戶指紋”技術(shù)的支持,這些技術(shù)正被在線廣告商濫用。

谷歌沒(méi)有詳細(xì)說(shuō)明它計(jì)劃屏蔽哪些類型的用戶指紋識(shí)別技術(shù)。值得一提的是,有很多方法,從掃描本地安裝的系統(tǒng)字體到濫用HTML5 canvas元素,從測(cè)量用戶的設(shè)備屏幕大小到讀取本地安裝的擴(kuò)展名。

第一個(gè)阻止指紋識(shí)別腳本/技術(shù)的主要瀏覽器是Tor瀏覽器,它必須這樣做,以防止其用戶的去匿名化。這一功能后來(lái)又被重新移植到Firefox瀏覽器中,就像Mozilla在2017年下半年開(kāi)始轉(zhuǎn)向隱私優(yōu)先的方式一樣。

現(xiàn)在,在一個(gè)I/O會(huì)議上,圍繞著為用戶發(fā)布新的隱私服務(wù)和功能,谷歌說(shuō)Chrome也將接受反指紋功能。

該公司今天表示:“由于指紋識(shí)別既不透明,也不受用戶控制,因此導(dǎo)致追蹤結(jié)果不尊重用戶的選擇。”

這就是為什么Chrome計(jì)劃更嚴(yán)格地限制網(wǎng)絡(luò)上的指紋識(shí)別。我們將采取的一種方式是減少瀏覽器被動(dòng)指紋識(shí)別的方式,這樣我們就可以在主動(dòng)指紋識(shí)別發(fā)生時(shí)對(duì)其進(jìn)行檢測(cè)和干預(yù)?!?/p>

一些用戶可能會(huì)問(wèn)自己,谷歌公司的大部分利潤(rùn)來(lái)自在線廣告和跟蹤用戶,為什么現(xiàn)在要推出這些隱私功能,預(yù)計(jì)這將對(duì)其業(yè)務(wù)產(chǎn)生重大影響。

答案很簡(jiǎn)單。谷歌試圖通過(guò)擴(kuò)展廣告攔截器來(lái)控制在線廣告利潤(rùn)的最終下降。

最近幾個(gè)月,谷歌甚至在Chrome瀏覽器中加入了一個(gè)基本的廣告攔截器,甚至試圖通過(guò)對(duì)其擴(kuò)展生態(tài)系統(tǒng)的一次極具爭(zhēng)議性的升級(jí)來(lái)消除廣告攔截器。

廣告阻滯劑在這里留下來(lái),和谷歌現(xiàn)在是最好的機(jī)會(huì),減少他們的損失通過(guò)設(shè)置在公司控制的默認(rèn)隱私和進(jìn)行功能用戶可以訪問(wèn),試圖控制整個(gè)生態(tài)系統(tǒng)在用戶太用于事務(wù)的當(dāng)前狀態(tài)。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。