an ckick pictrue

吃饭不洗...segmentfault 专栏

Chrome的SameSite Cookie 更新到底是什么

Issue链接更新于:2020-10-07

译文: WTF is Chrome’s SameSite cookie update?,原文写于2020.02.03

2020.02.04, Google即将推出新的Chrome更新,该更新承诺提供一系列旨在使浏览器更快,更安全的新功能-新的cookie打开方式。 SameSite更新将要求网站所有者明确声明可在其他网站上使用的第三方cookie的标签。 开发表示,没有正确标识的Cookie不能在Chrome浏览器中起作用,而Chrome浏览器占据整个浏览器市场64%的份额。

即将带来的变化

Google于去年5月首次宣布,第三方(例如广告技术公司)在Chrome 80及更高版本中将无法访问不包含 SameSite = NoneSecure标识的Cookie。安全标识意味着需要通过HTTPS请求设置和读取Cookie。

目前,Chrome SameSite Cookie的默认设置为:“None”,它允许第三方Cookie跨站点跟踪用户。但是从2020.2月开始,Cookie将默认设置为SameSite = Lax,这意味着仅当浏览器URL中的域与cookie的域(第一方cookie)匹配时才设置cookie。

任何带有SameSite = None标签的cookie也必须具有安全(Secure)标识,这意味着该cookie将只有通过HTTPS发出的请求来创建。同时,“ SameSite = Strict”指完全限制跨站点共享,即使是同一发布者拥有的不同域之间也是如此。

Firefox和Microsoft Edge也表示,它们也将采用SameSite = Lax默认值。

为什么谷歌要做这个更新

第三方cookie会使人们容易受到恶意跟踪、数据泄漏的影响,并使他们容易受到所谓的跨站点请求伪造攻击(CSRF)。例如,用户可能单击电子邮件中的恶意链接,从而使图谋不轨者能够登录其银行网站。

谷歌发言人说:“为了将网络生态系统移到更健康的位置,当未指定SameSite时,我们将更改默认行为,使其自动默认为更安全的选项,而不是不太安全的选项。”

发布者需要做什么才能更好的适应更新?

发布着可以通过打开chrome:// flags地址, 并启用#same-site-by-default-cookies#cookies-without-same-site-must-secure选项,开始测试自己的网站是否受到的影响,以查看是否有问题。如果网站还未开启HTTPS安全页面,应尽快做还迁移改造。

Google鼓励发布者查看开发人员工具中的警告,以检查包括广告技术和分析提供商在内的供应商是否在其网站上设置或访问了没有正确标识的第三方Cookie。

有什么风险?

数字营销机构规划与洞察总监凯文·乔伊纳(Kevin Joyner)表示,有时发布者会使用第三方Cookie进行登录,并记住他们应该真正使用第一方Cookie的用户偏好。当发布者拥有多个不同的网站和域时,往往会发生这种情况-因此,希望维护跨越多个域的单点登录的发布者将需要确保其Cookie配置是兼容地。

对于那些建立了依赖cookie的受众数据库的供应商来说,最大的潜在后果是:例如,Adobe在一篇博客文章中警告说,由于某些合作伙伴可能未及时进行必要的更改,因此其听众管理客户的Cookie匹配可能会减少。

乔伊纳说:”带来的问题是新的标准cookie将与旧的cookie不兼容。这意味着营销渠道突然变得毫无用处。”

这是cookie改革的开始吗

不完全。关于SameSite更新是否是Google的先驱,专家的意见存在分歧,这与苹果的智能防追踪和Firefox的增强跟踪保护相似,收紧其更宽泛的cookie政策-尤其是Google拥有自己的广告业务来保护。

Chrome已经为用户提供了阻止第三方cookie并清除其所有cookie的功能。 SameSite的更改应允许用户对其隐私设置进行更细微的控制,因为将更准确地指定第一方和第三方Cookie,以便他们可以清除广告跟踪Cookie,但不影响其登录详细信息和偏好。

但是更进一步,谷歌已经暗示了一个无cookie网络的外观。在去年11月举行的Chrome开发者大会上,负责Chrome隐私和跟踪预防的Google软件工程师Michael Kleber谈到了从Cookie转向大小合适的API的问题,这些API不允许随意通过网页跟踪用户隐私。 Chrome浏览器还在探索诸如联合学习同类群组之类的技术,以继续使行为广告能够正常工作。