Η Google σχεδιάζει να προσθέσει υποστήριξη για δύο νέες λειτουργίες απορρήτου και ασφάλειας στον Chrome. Same-site cookies και προστασία anti-fingerprinting.
Και τα δύο χαρακτηριστικά γνωστοποιήθηκαν σήμερα στο συνέδριο προγραμματιστών I/O 2019 της εταιρείας και δεν έχουν ανακοινωθεί ακόμα ημερομηνίες κυκλοφορίας. Ας δούμε όμως τι θα κάνουν οι νέες λειτουργίες
Same-site cookies
Η μεγαλύτερη αλλαγή που σχεδιάζει να αναπτύξει η Google αφορά το πώς θα διαχειρίζεται τα cookies.
Οι νέοι έλεγχοι θα βασίζονται σε ένα νέο πρότυπο της IETF που έχουν προτείνει οι προγραμματιστές του Chrome και της Mozilla για περισσότερα από τρία χρόνια.
Αυτή η νέα προδιαγραφή του IETF περιγράφει ένα νέο χαρακτηριστικό που μπορεί να οριστεί μέσα από τα HTTP headers. Ονομάζεται “SameSite”, και θα πρέπει να οριστεί από τον κάτοχο του ιστότοπου. Το νέο header θα πρέπει να περιγράφει με ποιον τρόπο μπορούν να φορτωθούν τα cookies μιας τοποθεσίας.
Για παράδειγμα ένα SameSite header που έχει οριστεί σαν “strict” (αυστηρό) θα σημαίνει ότι το cookie μπορεί να φορτωθεί μόνο στον “ίδιο ιστότοπο”. Οι ορισμοί “lax” ή “none” (χαλαρό ή κανένα) θα επιτρέπουν τη φόρτωση των cookies και σε άλλους ιστότοπους.
Με απλά λόγια. το παραπάνω χαρακτηριστικό θα δημιουργεί μια διαχωριστική γραμμή μεταξύ των cookies, τα οποία θα μπορούν να είναι cookies του ίδιου ιστότοπου ή cross-site cookies.
Η Google ελπίζει ότι οι κάτοχοι των ιστοσελίδων θα ενημερώσουν τους ιστότοπούς τους και θα μετατρέψουν παλιά cookie που χρησιμοποιούν για ευαίσθητες λειτουργίες, όπως τις λειτουργίες σύνδεσης και για την διαχείριση ρυθμίσεων ανά τοποθεσία, σε same-site cookies.
Όλα τα παλιά cookies που δεν έχουν κάποιο SameSite header θα ορίζονται αυτόματα σε “none” και ο Chrome θα τα θεωρεί σαν cross-site cookies ή tracking cookies.
Η Google ανακοίνωσε επίσης ότι σχεδιάζει να προσθέσει επιλογές στις ρυθμίσεις του Chrome, για να μπορούν οι χρήστες να δουν “με ποιο τρόπο χρησιμοποιούν οι ιστότοποι τα cookies”, καθώς και “απλούστερους ελέγχους για τα same-site cookies”.
Δεν γνωρίζουμε αν αυτοί οι “απλούστεροι έλεγχοι” θα επιτρέπουν στους χρήστες να μπλοκάρουν εν γένει όλα τα cookies, αλλά η Google υποσχέθηκε να κυκλοφορήσει μια προεπισκόπηση αυτών των λειτουργιών αργότερα το 2019.
Ο Firefox έχει προσθέσει υποστήριξη για τα cross-site cookies από τον Απρίλιο του 2018, με την κυκλοφορία του Firefox 60. Το Chrome υποστηρίζει τα same-site cookies από το 2016, αλλά το πρόγραμμα περιήγησης θα αρχίσει να απαιτεί αυτό το χαρακτηριστικό αργότερα αυτό το έτος.
Να αναφέρουμε ότι οι ιστότοποι που χρησιμοποιούν same-site cookies θα προστατεύονται από μια σειρά επιθέσεων, όπως τις επιθέσεις cross-site request forgery (CSRF). Η χρήση των same-site cookies σημαίνει ότι ο κακόβουλος κώδικας που έχει τοποθετηθεί σε έναν ιστότοπο τρίτου μέρους δεν θα μπορεί να πάρει και να διαβάσει ένα cookie από άλλο domain – επειδή το χαρακτηριστικό “SameSite: strict” που υπάρχει στο header της σελίδας θα τον εμποδίζει.
Προστασία anti-fingerprinting
Οι μηχανικοί της Google ανακοίνωσαν και ένα δεύτερο χαρακτηριστικό για την προστασία του απορρήτου στον Chrome στο συνέδριο προγραμματιστών I/O 2019.
Σύμφωνα με την Google, η εταιρεία σχεδιάζει να προσθέσει υποστήριξη για την παρεμπόδιση ορισμένων τύπων fingerprinting που καταχρώνται από τους διαφημιζόμενους στο διαδίκτυο.
Η Google δεν ανέφερε πολλές λεπτομέρειες για τους τύπους του fingerprinting που σχεδιάζει να μπλοκάρει. Αξίζει να αναφέρουμε ότι υπάρχουν πολλοί, από τη σάρωση τοπικά εγκατεστημένων γραμματοσειρών του συστήματος, την κατάχρηση του HTML5 canvas element, τη μέτρηση του μεγέθους της οθόνης της συσκευής του χρήστη μέχρι και την αναγνώριση των εγκατεστημένων επεκτάσεων.
Το πρώτο πρόγραμμα περιήγησης που μπλόκαρε τα fingerprinting scripts ήταν το πρόγραμμα περιήγησης Tor, το οποίο έπρεπε να το κάνει για να αποκρύψει την ταυτότητα των χρηστών του. Αυτή η λειτουργία χρησιμοποιήθηκε αργότερα από το πρόγραμμα περιήγησης Firefox.
Έτσι στο φετινό I/O η Google ανακοίνωσε ότι ο Chrome θα χρησιμοποιήσει επίσης μια λειτουργία anti-fingerprinting.
Γιατί;
Πολλοί ίσως να αναρωτιούνται γιατί η Google – μια εταιρεία που το μεγαλύτερο μέρος των εισόδων της προέρχεται από τις διαφημίσεις και την παρακολούθηση χρηστών – θέλει να προσθέσει αυτές τις δυνατότητες προστασίας προσωπικών δεδομένων, οι οποίες αναμένεται να έχουν μεγάλο αντίκτυπο στα κέρδη της.
Η απάντηση είναι απλή. Τα ad blockers extensions χρησιμοποιούν μια προσέγγιση “καμένης γης” για την παρεμπόδιση των scripts παρακολούθησης, αφού τα αποκλείουν όλα. Η Google θα παραχωρήσει τα νέα χαρακτηριστικά ασφαλείας στον Chrome, αλλά θα προσπαθήσει να ελέγξει και την ενδεχόμενη μείωση των κερδών από την διαδικτυακή διαφήμιση.
Η εταιρεία προσφέρει ήδη ένα βασικό αποκλεισμό διαφημίσεων στο Chrome αποφεύγοντας όμως τους καθολικούς αποκλεισμούς των ad blockers.
Έτσι πρόκειται για μια ευκαιρία της Google που τις επιτρέπει να μειώσει τις ζημιές της, προσφέροντας ένα σταθερό έλεγχο των λειτουργιών απορρήτου και αποκλεισμού διαφημίσεων, μέσω των ρυθμίσεων του Chrome.