Google krikt de veiligheid van cookie-instellingen op in Chrome 80, dat gepland staat voor februari 2020, en waarschuwt ontwikkelaars voor de mogelijke gevolgen. De wijzigingen hebben betrekking op het cookie-attribuut SameSite.
SameSite werd voor het eerst gespecificeerd in 2016 en bepaalt wat er gebeurt wanneer de browser content opvraagt van een andere site dan degene die je bezoekt. De cookie-waarde kan door een ontwikkelaar worden ingesteld als ‘strict’, ‘lax’, ‘none’ of ‘omitted’, aldus The Register.
Denk bijvoorbeeld aan een advertentie die wordt weergegeven. Als de waarde is ingesteld op ‘strict’, worden er geen cookies verzonden naar de site waar de advertentie naar linkt. Bij ‘lax’ worden er geen cookies verzonden, tenzij een gebruiker op de link klikt die hem naar de betreffende advertentiesite brengt. Als ‘none’ is ingesteld, worden cookies die zijn ingesteld door de externe site altijd verzonden en in het geval van ‘omitted’ zijn ze weggelaten.
Het SameSite-attribuut beschermt gebruikers tegen vervalsing van cross-site requests, waarbij een gebruiker is ingelogd op site A, maar een script op site B zich voordoet als de gebruiker en een verzoek naar site A verzend. Als site A de betreffende sessie-cookie ontvangt, lijkt het dus alsof deze afkomstig is van de gebruiker zelf.
Aanpassingen Chrome 80
Belangrijke browsers ondersteunen het SameSite-attribuut al jaren, zo ook Chrome. Maar Google heeft de bescherming in de loop der tijd geleidelijk aangescherpt. Nu gaat de internetreus dus naar de volgende fase en worden twee wijzigingen doorgevoerd:
- Cookies zonder het SameSite-kenmerk worden voortaan behandeld als ‘lax’ in plaats van ‘none’. Veel ontwikkelaars doen geen moeite om dit kenmerk in te stellen, dus dit blokkeert een heleboel cookies die momenteel worden verzonden.
- Cookies ingesteld op ‘none’ worden niet langer verzonden tussen sites, tenzij ze zijn getagd met het Secure-kenmerk, waarvoor een gecodeerde verbinding vereist is.
Google attendeert ontwikkelaars hier nu al op, omdat de gedragsverandering sommige functies zou kunnen onderbreken, als ze de vereiste kenmerken niet implementeren. Denk dan bijvoorbeeld aan een eenmalige aanmelding voor bedrijfstoepassingen. Bovendien heeft de aangekondigde wijziging ook invloed op frameworks die cookies instellen. Enterprise-beheerders kunnen het nieuwe gedrag indien nodig uitschakelen.
Tracking voorkomen
Om tracking te voorkomen is dit alles behalve een fijne wijzging. Adverteerders die juist graag trackingcookies willen zien, kunnen ervoor zorgen dat ze de vereiste kenmerken instellen. Gebruikers kunnen ‘Blokkeer cookies van derden’ in de browser instellen, maar in de meeste browsers is dit standaard uitgeschakeld omdat het functionaliteit kan breken.
Zo waarschuwt Firefox bijvoorbeeld dat het blokkeren van alle cookies van derden ‘ervoor kan zorgen dat websites kapot gaan’. Mozilla heeft om die reden dan ook een meer proactieve benadering gekozen met betrekking tot tracking-cookies. De maker van Firefox gebruikt een lijst met services die tracking-cookies instellen en blokkeert alleen cookies van derden van die sites. Inmiddels is dit standaard ingeschakeld in Firefox, maar om het in Chrome te gebruiken, is er een extensie nodig.