Suicide
15.01.2020, 20:00
Компания Google объявила (https://blog.chromium.org/2020/01/building-more-private-web-path-towards.html) о намерении в течение ближайших двух лет полностью прекратить в Chrome поддержку сторонних Cookie, выставляемых при обращении к сайтам, отличным от домена текущей страницы. Подобные Cookie применяются для отслеживания перемещений пользователя между сайтами в коде рекламных сетей, виджетов социальных сетей и систем web-аналитики.
Как и заявленное (https://www.opennet.ru/opennews/art.shtml?num=52182) вчера намерение унифицировать заголовок User-Agent, отказ от сторонних Cookie продвигается в рамках инициативы Privacy Sandbox (https://www.opennet.ru/opennews/art.shtml?num=51341), нацеленной на достижение компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей. До конца этого года в режиме origin trial (https://developers.chrome.com/origintrials/#/trials/active) ожидается включение в браузер дополнительных API (https://github.com/w3c/web-advertising/blob/master/README.md) для измерения конверсии и персонализации рекламы без применения сторонних Cookie.
Для определения категории интересов пользователя без проведения индивидуальной идентификации и без привязки к истории посещения конкретных сайтов, рекламным сетям предлагается использовать API Floc (https://github.com/jkarlin/floc), для оценки активности пользователя после перехода на рекламу - API Conversion Measurement (https://github.com/csharrison/conversion-measurement-api), а для разделения пользователей без использования межсайтовых идентификаторов - API Trust Token (https://github.com/dvorak42/trust-token-api). Развитие спецификаций, связанных с показом таргетированной рекламы без нарушения конфиденциальности, ведётся отдельной рабочей группой (https://www.w3.org/community/web-adv/), созданной при организации W3C.
В настоящее время в контексте защиты от передачи Cookie в ходе CSRF-атак (https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D 0%B2%D0%B0%D1%8F_%D0%BF%D0%BE%D0%B4%D0%B4%D0%B5%D0 %BB%D0%BA%D0%B0_%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1% 81%D0%B0) применяется указываемый в заголовке Set-Cookie атрибут SameSite, который начиная с Chrome 76 по умолчанию выставлен в значение "SameSite=Lax", ограничивающее отправку Cookie для вставок со сторонних сайтов, но сайты могут отменить ограничение, явно выставляя при установке Cookie значение SameSite=None. Атрибут SameSite может принимать два значения ‘strict’ или ‘lax’. В режиме 'strict' Cookie удерживаются от отправки для любых видов межсайтовых запросов. В режиме 'lax' применяются более мягкие ограничения и передача Cookie блокируется только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe.
В Chrome 80, намеченном на 4 февраля, будет применено более жёсткое ограничение, запрещающее обработку сторонних Cookie для запросов без HTTPS (с атрибутом SameSite=None Cookie смогут выставляться только в режиме Secure). Кроме того, продолжается работа по реализации средств для определения и защиты от применения обходных методов отслеживания и скрытой идентификации ("browser fingerprinting").
Напомним, что в Firefox, начиная с выпуска 69 (https://www.opennet.ru/opennews/art.shtml?num=51408), по умолчанию обеспечено игнорирование Cookie всех сторонних систем отслеживания перемещений. Google считает подобную блокировку оправданной, но требующей предварительной подготовки Web-экосистемы и предоставления альтернативных API для решения задач, для которых ранее использовались сторонние Cookie, без нарушения конфиденциальности и не подрывая модели монетизации сайтов, финансируемых за счёт показа рекламы. В ответ на блокировку Cookie без предоставления альтернативы рекламные сети не прекратили отслеживание, а лишь перешли к применению более изощрённых методов на основе скрытой идентификации пользователей (fingerprinting) или через создание (https://www.opennet.ru/opennews/art.shtml?num=51928) для трекера отельных поддоменов в домене сайта, на котором показывается реклама.
15.01.2020
http://www.opennet.ru/opennews/art.shtml?num=52189
Как и заявленное (https://www.opennet.ru/opennews/art.shtml?num=52182) вчера намерение унифицировать заголовок User-Agent, отказ от сторонних Cookie продвигается в рамках инициативы Privacy Sandbox (https://www.opennet.ru/opennews/art.shtml?num=51341), нацеленной на достижение компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей. До конца этого года в режиме origin trial (https://developers.chrome.com/origintrials/#/trials/active) ожидается включение в браузер дополнительных API (https://github.com/w3c/web-advertising/blob/master/README.md) для измерения конверсии и персонализации рекламы без применения сторонних Cookie.
Для определения категории интересов пользователя без проведения индивидуальной идентификации и без привязки к истории посещения конкретных сайтов, рекламным сетям предлагается использовать API Floc (https://github.com/jkarlin/floc), для оценки активности пользователя после перехода на рекламу - API Conversion Measurement (https://github.com/csharrison/conversion-measurement-api), а для разделения пользователей без использования межсайтовых идентификаторов - API Trust Token (https://github.com/dvorak42/trust-token-api). Развитие спецификаций, связанных с показом таргетированной рекламы без нарушения конфиденциальности, ведётся отдельной рабочей группой (https://www.w3.org/community/web-adv/), созданной при организации W3C.
В настоящее время в контексте защиты от передачи Cookie в ходе CSRF-атак (https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D 0%B2%D0%B0%D1%8F_%D0%BF%D0%BE%D0%B4%D0%B4%D0%B5%D0 %BB%D0%BA%D0%B0_%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1% 81%D0%B0) применяется указываемый в заголовке Set-Cookie атрибут SameSite, который начиная с Chrome 76 по умолчанию выставлен в значение "SameSite=Lax", ограничивающее отправку Cookie для вставок со сторонних сайтов, но сайты могут отменить ограничение, явно выставляя при установке Cookie значение SameSite=None. Атрибут SameSite может принимать два значения ‘strict’ или ‘lax’. В режиме 'strict' Cookie удерживаются от отправки для любых видов межсайтовых запросов. В режиме 'lax' применяются более мягкие ограничения и передача Cookie блокируется только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe.
В Chrome 80, намеченном на 4 февраля, будет применено более жёсткое ограничение, запрещающее обработку сторонних Cookie для запросов без HTTPS (с атрибутом SameSite=None Cookie смогут выставляться только в режиме Secure). Кроме того, продолжается работа по реализации средств для определения и защиты от применения обходных методов отслеживания и скрытой идентификации ("browser fingerprinting").
Напомним, что в Firefox, начиная с выпуска 69 (https://www.opennet.ru/opennews/art.shtml?num=51408), по умолчанию обеспечено игнорирование Cookie всех сторонних систем отслеживания перемещений. Google считает подобную блокировку оправданной, но требующей предварительной подготовки Web-экосистемы и предоставления альтернативных API для решения задач, для которых ранее использовались сторонние Cookie, без нарушения конфиденциальности и не подрывая модели монетизации сайтов, финансируемых за счёт показа рекламы. В ответ на блокировку Cookie без предоставления альтернативы рекламные сети не прекратили отслеживание, а лишь перешли к применению более изощрённых методов на основе скрытой идентификации пользователей (fingerprinting) или через создание (https://www.opennet.ru/opennews/art.shtml?num=51928) для трекера отельных поддоменов в домене сайта, на котором показывается реклама.
15.01.2020
http://www.opennet.ru/opennews/art.shtml?num=52189