谷歌Chrome支持相同站点的cookies 获得反指纹保护

谷歌计划在Chrome中增加两个新的隐私和安全功能，即同站点cookie和反指纹保护。

这两项功能今天都在公司的I/O 2019开发者大会上公布了，并没有给出这两项功能明年安装Chrome的最后期限。

谷歌计划推出的最大变化是它处理cookie文件的方式。

这些新的控件将基于一个新的IETF标准，Chrome和Mozilla开发人员已经为此工作了三年多。

这个新的IETF规范描述了一个可以在HTTP头文件中设置的新属性。被称为“SameSite”的属性必须由网站所有者设置，并且应该描述可以加载网站cookie的情况。

一个相同的属性“strict”将意味着cookie只能加载在“相同的站点”上。设置“lax”或“none”等属性将允许在其他站点加载cookie。

DR:默认为' SameSite=Lax '。需要跨站点访问的用户可以选择通过“SameSite=None”进入现状，但是这样做也需要维护“安全”。

用外行人的术语来说，这在cookie之间创建了一条分界线，它将成为以太相同站点或跨站点的cookie。

谷歌希望网站所有者能够更新他们的网站，并将他们用于敏感操作(如登录操作和管理每个站点的设置)的旧cookie转换为相同站点的cookie。

所有没有SameSite标头的旧cookie将自动使用“none”属性，Chrome将把它们视为跨站点(或跟踪)cookie。

谷歌今天表示，它计划在Chrome的设置面板中添加选项，这样用户就可以查看“网站是如何使用cookie的，以及对跨站点cookie的更简单的控制。”

目前还不清楚这些“更简单的控制”是否会让用户完全阻止跨站点(跟踪)cookie，但谷歌承诺将在今年晚些时候预览这些功能。

自2018年4月以来，随着Firefox 60的发布，Firefox增加了对跨站点cookie的支持。自2016年以来，Chrome一直支持同站点cookie，但从今年晚些时候开始，浏览器将开始要求该属性。

另一个好处是，使用相同站点cookie的网站也可以免受一系列攻击，比如跨站点请求伪造(CSRF)攻击。使用相同站点的cookie意味着加载在第三方网站上的恶意代码无法拉取和读取另一个域上的cookie——因为cookie头部的“SameSite: strict”属性将阻止这种情况的发生。

即使谷歌不会兑现其承诺，仅仅通过支持SameSite属性来添加控制来阻止跨站点(跟踪)cookie，谷歌也将极大地改善许多网站和web应用程序的安全状况，因为CRSF攻击是当今最常见的攻击之一。

关于SameSite IETF规范(目前是草案)的更多细节可以在RFC 6265、MDN门户以及谷歌的web.dev教程站点上的这篇介绍性博客文章中找到。

但是谷歌的工程师们也在今天的I/O 2019开发者大会上宣布了Chrome的第二个主要的隐私功能。

根据谷歌，该公司计划增加对某些类型的“用户指纹”技术的支持，这些技术正被在线广告商滥用。

谷歌没有详细说明它计划屏蔽哪些类型的用户指纹识别技术。值得一提的是，有很多方法，从扫描本地安装的系统字体到滥用HTML5 canvas元素，从测量用户的设备屏幕大小到读取本地安装的扩展名。

第一个阻止指纹识别脚本/技术的主要浏览器是Tor浏览器，它必须这样做，以防止其用户的去匿名化。这一功能后来又被重新移植到Firefox浏览器中，就像Mozilla在2017年下半年开始转向隐私优先的方式一样。

现在，在一个I/O会议上，围绕着为用户发布新的隐私服务和功能，谷歌说Chrome也将接受反指纹功能。

该公司今天表示:“由于指纹识别既不透明，也不受用户控制，因此导致追踪结果不尊重用户的选择。”

这就是为什么Chrome计划更严格地限制网络上的指纹识别。我们将采取的一种方式是减少浏览器被动指纹识别的方式，这样我们就可以在主动指纹识别发生时对其进行检测和干预。”

一些用户可能会问自己，谷歌公司的大部分利润来自在线广告和跟踪用户，为什么现在要推出这些隐私功能，预计这将对其业务产生重大影响。

答案很简单。谷歌试图通过扩展广告拦截器来控制在线广告利润的最终下降。

最近几个月，谷歌甚至在Chrome浏览器中加入了一个基本的广告拦截器，甚至试图通过对其扩展生态系统的一次极具争议性的升级来消除广告拦截器。

广告阻滞剂在这里留下来,和谷歌现在是最好的机会,减少他们的损失通过设置在公司控制的默认隐私和进行功能用户可以访问,试图控制整个生态系统在用户太用于事务的当前状态。