Благодаря изменениям в законодательстве ЕС, приведшим к появлению баннеров с согласием на использование файлов cookie практически на каждом веб-сайте, осведомленность общественности о файлах cookie в Интернете, вероятно, никогда не была столь высокой. Google представил два экспериментальных флага Chrome, которые должны сделать файлы cookie по умолчанию более безопасными для всех, но могут нарушить работу старых веб-сайтов.
Файлы cookie — это, среди прочего, способ, с помощью которого ваш браузер сообщает веб-сайтам, что вы вошли в систему. В прошлом вредоносные веб-сайты могли легко использовать тот факт, что вы вошли в другой определенный сайт, чтобы получить доступ к частной информации или совершать действия, которые вы не авторизовывали. С тех пор веб-разработчикам стало проще вручную защищать вашу информацию, помечая файлы cookie своего сайта как «SameSite» и/или «Secure».
SameSite
Когда файл cookie помечен как SameSite, Chrome и другие браузеры знают, что не следует использовать этот файл cookie при определенных обстоятельствах при подключении с одного веб-сайта к совершенно другому. Веб-разработчики могут использовать два типа файлов cookie SameSite, в зависимости от их потребностей в безопасности: «Lax» и «Strict».
«Strict» *полностью* блокирует использование файла cookie при подключении с одного веб-сайта к другому, и лучше всего подходит для высокозащищенных веб-сайтов, таких как банки. И наоборот, «Lax» разработан для того, чтобы нормальный просмотр работал ожидаемым образом, блокируя файлы cookie только при прямом подключении с одного веб-сайта к определенным безопасным аспектам другого.
Например, нажатие на ссылку веб-сайта, в который вы вошли, должно показывать, что вы уже вошли в систему, если для файла cookie установлено значение Lax. Однако вредоносная страница не сможет использовать этот же файл cookie для таких действий, как комментирование на Reddit.
Secure
За последние несколько лет Google (наряду с другими компаниями) активно продвигал HTTPS как стандартный способ подключения к Интернету. Например, ранее веб-сайты HTTPS были специально помечены как «безопасные», но в прошлом году Google изменил ситуацию, показав стандартные веб-сайты HTTP как «Небезопасные».
Аналогично, пометка определенного файла cookie как «Secure» указывает Chrome использовать этот файл cookie только при безопасном (HTTPS) соединении. Это сделано для того, чтобы никто не мог прослушивать вашу сеть и скопировать ваш файл cookie для вредоносных целей.
Теги Secure и SameSite невероятно полезны для обеспечения безопасности Интернета, но в настоящее время они зависят от того, насколько веб-разработчик обеспокоен безопасностью. Согласно паре новых флагов в chrome://flags, оба из которых уже доступны в Chrome Canary, Google рассматривает возможность того, чтобы *все файлы cookie* по умолчанию стали файлами SameSite и Secure.
Новые флаги
Первый флаг, #same-site-by-default-cookies, указывает Chrome рассматривать файлы cookie, которые не имеют параметра SameSite, как будто они были установлены в Lax. Это должно сделать ваши файлы cookie относительно безопасными от опасного злоупотребления, не влияя на ваши обычные привычки просмотра Интернета.
Рассматривать файлы cookie, не указывающие атрибут SameSite, как будто они были SameSite=Lax. Сайты должны указывать SameSite=None, чтобы разрешить стороннее использование.
Google также предлагает вывести идею безопасности файлов cookie по умолчанию на еще один шаг вперед с помощью второго флага Chrome, #cookies-without-same-site-must-be-secure. При включении Chrome также будет принудительно применять к файлам cookie, не указывающим SameSite, быть «Secure» (невозможно использовать при незащищенных соединениях), если это возможно. Если для этого файла cookie невозможно быть безопасным, поскольку он получен из незащищенного соединения, Chrome, по-видимому, вообще заблокирует его.
При включении файлы cookie без ограничений SameSite также должны быть Secure. Если файл cookie без ограничений SameSite установлен без атрибута Secure, он будет рассматриваться как Secure (если установлен из безопасного URL-адреса) или отклонен (если установлен из незащищенного URL-адреса). Этот флаг имеет эффект только в том случае, если «SameSite by default cookies» также включен.
Это гораздо более агрессивная политика, и она почти наверняка вызовет проблемы у пользователей веб-сайтов, которые еще не перешли на HTTPS. Несомненно, будет некоторая реакция разработчиков, но именно поэтому политика, скорее всего, находится за флагом, чтобы позволить Google и другим разработчикам тестировать и видеть, является ли это положительным изменением, прежде чем потенциально сделать его широко распространенным.
Трудно спорить против преимуществ безопасности, которые предлагают эти две политики, но есть определенные опасения, которыми стоит поделиться. Поскольку оба флага только начинают появляться в Canary, мы вряд ли увидим их в стабильной версии раньше Chrome 76. Это должно дать веб-разработчикам достаточно времени для тестирования флагов и сообщения о любых потенциальных проблемах Google. В зависимости от отзывов, вполне возможно, что эти экспериментальные политики никогда не достигнут обычного пользователя.