Hãy sẵn sàng cho SameSite mới = Không có; Cài đặt cookie an toàn

[ad_1]

Đây là một bài đăng chéo từ blog của nhà phát triển Chromium và cụ thể về cách thay đổi đối với Chrome có thể ảnh hưởng đến cách trang web của bạn hoạt động cho người dùng của bạn trong tương lai.

Vào tháng 5, Chrome đã công bố bảo mật mô hình -default cho cookie, được kích hoạt bởi hệ thống phân loại cookie mới (spec). Sáng kiến ​​này là một phần trong nỗ lực không ngừng của chúng tôi nhằm cải thiện quyền riêng tư và bảo mật trên web.
Chrome có kế hoạch triển khai mô hình mới với Chrome 80 vào tháng 2 năm 2020. Mozilla và Microsoft cũng đã chỉ ra ý định triển khai mô hình mới trong Firefox và Edge , trên dòng thời gian riêng của họ. Mặc dù các thay đổi của Chrome vẫn còn vài tháng nữa, nhưng điều quan trọng là các nhà phát triển quản lý cookie đánh giá sự sẵn sàng của họ ngày hôm nay. Bài đăng blog này phác thảo các khái niệm cấp cao; vui lòng xem Cookies SameSite Giải thích trên web.dev để biết hướng dẫn dành cho nhà phát triển.

Tìm hiểu bối cảnh cookie giữa các trang web và cùng trang web

Các trang web thường tích hợp các dịch vụ bên ngoài để quảng cáo, đề xuất nội dung, tiện ích của bên thứ ba, nhúng xã hội và các tính năng khác. Khi bạn duyệt web, các dịch vụ bên ngoài này có thể lưu trữ cookie trong trình duyệt của bạn và sau đó truy cập các cookie đó để cung cấp trải nghiệm được cá nhân hóa hoặc đo lường mức độ tham gia của khán giả. Mỗi cookie có một tên miền liên quan đến nó. Nếu tên miền được liên kết với cookie khớp với dịch vụ bên ngoài và không phải trang web trong thanh địa chỉ của người dùng, thì đây được coi là một trang web chéo (hoặc của bên thứ ba ).

Các trường hợp sử dụng nhiều trang web rõ ràng hơn bao gồm các tình huống trong đó một thực thể sở hữu nhiều trang web sử dụng cookie trên các thuộc tính đó. Mặc dù cùng một thực thể sở hữu cookie và các trang web, nhưng điều này vẫn được tính là bối cảnh chéo của bên thứ ba hoặc bên thứ ba khi tên miền cookie cookie không khớp với (các) trang web mà cookie được truy cập.

Khi tài nguyên bên ngoài trên trang web truy cập cookie không phù hợp với tên miền của trang web, đây là bối cảnh chéo của bên thứ ba hoặc bên thứ ba.

Ngược lại, truy cập cookie trong bối cảnh cùng trang web (hoặc Bên thứ nhất (19459010]) xảy ra khi tên miền của cookie khớp với tên miền của trang web trong thanh địa chỉ của người dùng. Cookie cùng trang thường được sử dụng để giữ mọi người đăng nhập vào các trang web riêng lẻ, ghi nhớ tùy chọn của họ và phân tích trang web hỗ trợ.

Khi tài nguyên trên trang web truy cập cookie phù hợp với trang web mà người dùng đang truy cập, đây là bối cảnh của bên thứ nhất hoặc bên đầu tiên.

Một mô hình mới cho Bảo mật và minh bạch cookie

Ngày nay, nếu cookie chỉ được truy cập trong bối cảnh của bên thứ nhất, nhà phát triển có tùy chọn áp dụng một trong hai cài đặt (SameSite = Lax hoặc SameSite = Strict) để ngăn truy cập bên ngoài. Tuy nhiên, rất ít nhà phát triển tuân theo thực tiễn được đề xuất này, để lại một số lượng lớn cookie cùng trang web không cần phải tiếp xúc với các mối đe dọa như các cuộc tấn công giả mạo yêu cầu chéo trang.

Để bảo vệ nhiều trang web và người dùng của họ, mặc định an toàn mới mô hình giả định tất cả các cookie nên được bảo vệ khỏi truy cập bên ngoài trừ khi có quy định khác. Các nhà phát triển phải sử dụng cài đặt cookie mới, SameSite = Không, để chỉ định cookie để truy cập nhiều trang web. Khi có thuộc tính SameSite = none, một thuộc tính Secure bổ sung phải được sử dụng để cookie chéo trang chỉ có thể được truy cập qua các kết nối HTTPS. Điều này đã giúp giảm thiểu mọi rủi ro liên quan đến truy cập giữa các trang nhưng nó sẽ bảo vệ chống lại các cuộc tấn công mạng.

Ngoài các lợi ích bảo mật tức thời, tuyên bố rõ ràng về cookie chéo cho phép người dùng lựa chọn minh bạch hơn. Ví dụ: các trình duyệt có thể cung cấp cho người dùng các điều khiển chi tiết để quản lý cookie chỉ được truy cập bởi một trang web riêng biệt với các cookie được truy cập trên nhiều trang web.

Thực thi Chrome bắt đầu từ tháng 2 năm 2020

Với Chrome 80 vào tháng 2, Chrome sẽ coi các cookie không có giá trị SameSite được khai báo là SameSite = Lax cookie. Chỉ các cookie có SameSite = Không có; Cài đặt bảo mật sẽ khả dụng cho truy cập bên ngoài, miễn là chúng được truy cập từ các kết nối an toàn. Trình theo dõi trạng thái nền tảng Chrome cho SameSite = Không và Bảo mật sẽ tiếp tục được cập nhật với thông tin khởi chạy mới nhất.

Mozilla đã khẳng định sự hỗ trợ của họ đối với mô hình phân loại cookie mới với ý định triển khai SameSite = Không; Yêu cầu bảo mật cho cookie chéo trang trong Firefox. Microsoft gần đây đã công bố kế hoạch bắt đầu triển khai mô hình bắt đầu như một thử nghiệm trong Microsoft Edge 80.

Cách chuẩn bị; Các phức tạp đã biết

Nếu bạn quản lý cookie giữa các trang web, bạn sẽ cần áp dụng SameSite = Không; Cài đặt an toàn cho các cookie đó. Việc triển khai nên đơn giản đối với hầu hết các nhà phát triển, nhưng chúng tôi khuyến khích bạn bắt đầu thử nghiệm ngay bây giờ để xác định các trường hợp phức tạp và đặc biệt, chẳng hạn như sau:

  • Không phải tất cả các ngôn ngữ và thư viện đều hỗ trợ giá trị Chưa có tiêu đề cookie trực tiếp. Kho lưu trữ Github này cung cấp các hướng dẫn để triển khai SameSite = Không; Bảo mật trong nhiều ngôn ngữ, thư viện và khung.
  • Một số trình duyệt, bao gồm một số phiên bản Chrome, Safari và UC Browser, có thể xử lý giá trị Không theo cách không mong muốn, yêu cầu nhà phát triển mã ngoại lệ cho các máy khách đó. Điều này bao gồm Android WebViews được cung cấp bởi các phiên bản Chrome cũ hơn. Tại đây, một danh sách các khách hàng không tương thích đã biết.
  • Các nhà phát triển ứng dụng nên khai báo cài đặt cookie SameSite thích hợp cho Android WebViews dựa trên các phiên bản Chrome tương thích với giá trị Không có, cả cho cookie được truy cập qua tiêu đề HTTP (S) và qua API CookieManager của Android WebView, mặc dù mới mô hình sẽ không được thi hành trên Android WebView cho đến sau này.
  • Quản trị viên CNTT doanh nghiệp có thể cần thực hiện các chính sách đặc biệt để tạm thời hoàn nguyên Trình duyệt Chrome về hành vi kế thừa nếu một số dịch vụ như đăng nhập một lần hoặc ứng dụng nội bộ chưa sẵn sàng cho lần ra mắt tháng hai.
  • Nếu bạn có cookie mà bạn truy cập trong cả bối cảnh của bên thứ nhất và bên thứ ba, bạn có thể cân nhắc sử dụng các cookie riêng biệt để nhận được lợi ích bảo mật của SameSite = Lax trong bối cảnh của bên thứ nhất.

SameSite Cookies Giải thích cung cấp hướng dẫn cụ thể cho các tình huống ở trên và các kênh để nêu vấn đề và câu hỏi.

Để kiểm tra tác động của hành vi Chrome mới trên trang web của bạn hoặc cookie bạn quản lý, bạn có thể truy cập chrome: // flags trong Chrome 76+ và kích hoạt tính năng SameSite theo các cookie mặc định Ngoài ra, các thử nghiệm này sẽ được bật tự động cho một tập hợp con của người dùng Chrome 79 Beta. Một số người dùng Beta với các thử nghiệm được bật có thể gặp sự cố không tương thích với các dịch vụ chưa hỗ trợ mô hình mới; Người dùng có thể từ chối các thử nghiệm Beta bằng cách truy cập chrome: // flags và vô hiệu hóa chúng.

Nếu bạn quản lý cookie chỉ được truy cập trong ngữ cảnh cùng trang web (cookie cùng trang web) thì không bắt buộc hành động về phía bạn; Chrome sẽ tự động ngăn những cookie đó bị truy cập bởi các thực thể bên ngoài, ngay cả khi thuộc tính SameSite bị thiếu hoặc không có giá trị nào được đặt. Tuy nhiên, chúng tôi thực sự khuyên bạn nên áp dụng giá trị SameSite thích hợp (Lax hoặc Strict) và không dựa vào hành vi mặc định của trình duyệt vì không phải tất cả các trình duyệt đều bảo vệ cookie cùng trang theo mặc định.

Cuối cùng, nếu bạn lo lắng về sự sẵn sàng của các nhà cung cấp và những người khác cung cấp dịch vụ cho trang web của bạn, bạn có thể kiểm tra các cảnh báo trong bảng điều khiển Công cụ dành cho nhà phát triển trong Chrome 77+ khi một trang chứa cookie chéo trang bị thiếu các cài đặt bắt buộc:

 với tài nguyên trang web chéo tại (tên miền cookie) đã được đặt mà không có thuộc tính `SameSite`. Bản phát hành Chrome trong tương lai sẽ chỉ phân phối cookie với các yêu cầu trên nhiều trang nếu chúng được đặt với `SameSite = none` và` Secure`. Bạn có thể xem lại cookie trong các công cụ dành cho nhà phát triển trong Cookie lưu trữ ứng dụng và xem thêm chi tiết tại https://www.chromestatus.com/feature/5088147346030592 và https://www.chromestatus.com/feature/5633521622188032. "Height =" 130 " là một chiều cao: tự động; chiều rộng: tự động; lề: 0px 0px 20px; "width =" 607 "/>

<br /> Một số nhà cung cấp (bao gồm một số dịch vụ của Google) sẽ triển khai các thay đổi cần thiết trong các tháng dẫn đến Chrome 80 vào tháng 2; bạn có thể muốn liên hệ với các đối tác của mình để xác nhận sự sẵn sàng của họ. <br /> <span class= Được đăng bởi Barb Palser, Chrome và Quan hệ đối tác nền tảng web

[ad_2]
Source link: webdesignernews

Leave a Reply

Your email address will not be published. Required fields are marked *