为 SameSite Cookie 设置做好充足准备

2020-09-04 13:51   来源: 互联网

SameSiteCookie对网站的安全性非常重要。今年7月,我们重新调整了对SameSite的更改,今天,我们在Chrome 80以上的版本中达到了全部覆盖范围。


鉴于大多数开发人员尚未做出相应的调整,并在保护用户隐私的前提下,团队将改变内容和如何调整SameSiteCookie,让所有开发人员重新整合,希望引起开发者对用户隐私的关注,并开始做出改变,以减少潜在的安全风险。


恢复SameSiteCookie 7月份的变化


今年4月,为了确保该网站在回应新冠肺炎的重要初期阶段提供必要的服务,我们暂时推迟了SameSiteCookie标签的实施。我们已经发布了在夏季恢复部署的计划。


自4月以来,我们一直在监测整个生态系统的准备情况,并与网站和服务部门合作,确保它们为SameSite标签政策做好了准备。7月14日,我们恢复了启用Chrome 80+的SameSiteCookie实现,与Chrome 84的稳定版本保持一致。


准备新的SameSite=None;SecureCookie设置


去年5月,Chrome宣布推出Cookie的默认安全模式,推出了一个新的Cookie分类系统(规范)。这个程序是我们正在进行的改善网络隐私和安全性工作的一部分。请参阅web.dev上的SameSiteCookie说明,以获得开发人员的指导。


理解跨域和同域Cookie方案


网站通常集成了用于广告、内容推荐、第三方微件、社交媒体嵌入和其他功能的外部服务。当您浏览网页时,这些外部服务可能会将Cookie存储在浏览器中,然后访问Cookie,以提供个性化的访问体验或衡量观众的参与程度。每个Cookie都有一个相关的域。如果与Cookie相关的域与外部服务不匹配,并且不是用户地址栏中的网站,则被视为跨域(或"第三方")场景。


不太明显的跨站点用例包括有多个网站的实体在多个网站上使用Cookie。虽然这些Cookie和Web站点属于同一个实体,但当Cookie的域与访问Cookie的站点不匹配时,它仍然被视为跨域或"第三方"场景。



当网页上的外部资源访问与站点域不匹配的Cookie时,它是跨域或"第三方"方案。


相反,当Cookie域与用户地址栏中的站点域匹配时,Cookie访问将发生在相同的域中(或"第一方")场景中。相同的网站Cookie通常用于让用户登录网站,记住他们的喜好,并支持站点分析。


当网页上的资源访问与用户访问的站点匹配的Cookie时,它是相同的域或"第一方"场景


新的Cookie安全和透明模式


现在,如果Cookie仅在第一方场景中被访问,开发人员可以选择应用这两种设置中的一种(sameSite=Lax或sameSite=Strength)来阻止外部访问。然而,很少有开发人员采用这种推荐的方法,使得大量Cookie在同一域中暴露于跨站点请求伪造攻击等威胁。



为了保护更多的站点及其用户,新的默认安全模型假定所有Cookie都应该受到外部访问的保护(除非另有规定)。开发人员必须使用新的Cookie设置SameSite=None来指定Cookie可用于跨站点访问。当SameSite=None属性存在时,您必须使用附加的安全属性,以便只能通过HTTPS连接访问跨站Cookie。这不能减轻与跨站点访问相关的风险,但可以防止网络攻击。


除了即时安全的好处外,明确声明跨站点Cookie还可以提高透明度和用户选择。例如,浏览器可以为用户提供精细的粒度控制,以管理Cookie,Cookie只能由单个网站访问,而Cookie是跨多个网站访问的。


责任编辑:无量渡口
分享到:
0
【慎重声明】凡本站未注明来源为"中国IT新闻网"的所有作品,均转载、编译或摘编自其它媒体,转载、编译或摘编的目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责。如因作品内容、版权和其他问题需要同本网联系的,请在30日内进行!
生活帮原创