在2019 I/O开发者大会上,谷歌宣布计划在即将发布的ChromeWeb浏览器版本中引入两个新的隐私和安全功能。
为了允许用户阻止在线跟踪,谷歌宣布了两项新功能,改进了Samesite cookies和指纹保护,并将在今年晚些时候在Chrome浏览器中预览这些功能。
cookie,也称为http cookie或浏览器cookie,是网站存储在您的计算机上的一小部分信息,在改善您的在线体验方面发挥着重要作用。
当用户加载特定网站时,Web浏览器会创建cookie,这有助于网站记住有关您访问的信息,如登录信息、首选语言、购物车中的项目和其他设置。
然而,cookie也被广泛用于识别用户和跟踪他们的活动,不仅在发布cookie的站点上,而且在包括同一站点共享资源的任何第三方站点上,例如,用于广告目标锁定和广告行为分析的cookie。
由于目前没有标准的方法来识别或分类网站如何使用cookie,所有这些用于不同目的的cookie在浏览器中看起来都是一样的,清除它们会使您退出所有网站,重置您的在线首选项。
改进的Samesite cookies为用户提供了更多的控制权限
谷歌正在计划修改跨网站cookie在互联网上的工作方式,使Chrome浏览器用户更容易阻止或清除所有此类第三方cookie,而不会丢失登录信息和设置。
在一篇博文中,谷歌详细解释了一种新的机制,网站开发人员必须在接下来的几个月里遵循这一机制,明确地指定哪些cookie在他们的网站上可以跨网站工作,并且可用来跟踪用户。
谷歌Chrome Samesite cookies隐私保护
新机制是建立在same site cookie属性之上的,该属性为开发人员提供三种不同的选项来控制行为,并为用户提供更多的透明度,以显示浏览器cookie是否用于相同的站点或跨站点目的。
网站开发人员可以通过将same site属性值设置为“strict”或“lax”(将cookie限制为相同的网站请求),或者在明确要求跨网站提供cookie时设置为“none”(无),来选择更安全的方法。
另外?新的升级将限制跨站点cookie到HTTPS连接,也将使恶意站点难以利用跨站点漏洞。
谷歌解释说:“这一变化也为用户带来了巨大的安全效益,默认情况下,可以保护cookie免受跨站点注入和数据泄漏攻击,如Spectre和CSRF(跨站点请求伪造)。
“我们还宣布了最终将跨站点cookie限制为HTTPS连接的计划,为我们的用户提供额外的重要隐私保护。”
随着Chrome76的发布,谷歌还将允许用户设置浏览器的默认行为,以定义在访问网站时是否应该接受或拒绝跨站点cookie。
针对浏览器指纹的新保护
除了cookie之外,浏览器指纹也是一种常见且高度精确的技术,网站可以在不知情或未经同意的情况下识别和跟踪各个网站的用户。
浏览器指纹识别是一种非常有效的方法,可以通过浏览器API收集有关其设备的广泛数据,然后将它们组合起来,计算并为每个浏览器分配一个唯一的值,这些值可以在Internet上跟踪。
在2019年的I/O开发者大会上,谷歌还宣布Chrome将通过减少网络浏览器被动指纹的方式,使浏览器的指纹识别变得更加困难。
谷歌表示:“由于指纹既不透明,也不受用户控制,因此会导致跟踪不尊重用户选择。”这就是为什么Chrome计划更积极地限制网络上的指纹。”
然而,谷歌也认识到,跨网站cookie和指纹技术的用途不仅限于在线跟踪用户,而且公司“致力于与网络生态系统合作,以了解Chrome如何继续支持这些积极的使用案例并构建更好的网络”。