Chrome将在两年内抛弃第三方Cookie
|

Chrome加强第三方Cookie限制,谷歌终于出手了

作者Hermes Ma
谷歌的Chrome团队经常让人感觉是“二五仔”
谷歌的Chrome团队经常让人感觉是“二五仔”?

2019年我们看到了数字营销界特别是MarTech/AdTech界的一些趋势,其中有好的也有令人担忧的。总体有两个方向,其一是人工智能主导的技术革新全面开花,对数据的需求不管从数量还是质量上大幅提高。这也影响了第二个趋势,即人们对于个人隐私的担忧逐渐发酵,各种反跟踪技术和反爬虫技术不断出现。这两者必将在2020年持续博弈。

在隐私方面,二十多年来一直帮助互联网用户标识身份并记录状态的Cookie首当其冲成为隐私保护的焦点,无论是GDPR还是后续的各国新颁布的法律都对Cookie的使用进行了限制。然而Cookie作为营销者和互联网服务提供方为用户提供个性化Web服务的必要标识在短期内又具有充分的存在价值,这一矛盾让使科技公司们对Cookie的限制同时,并不像当年摒弃Flash技术那样来得那样汹涌,显得比较温和。

近日,谷歌终于宣布在即将到来的2月4日的Chrome 80版本中更新对第三方Cookie的处理方式。届时在这个全球市场占有率超过六成的浏览器中仅有在SameSite=None; Secure的条件下,第三方Cookie才会被Chrome发送给服务器。

第三方Cookie要点

关于什么是第三方Cookie,还请参考极诣的旧文。此处仅作要点介绍,对于没有AdTech基础的同学可直接跳过。。

  1. Cookie可以通过HTTP协议头中的set-cookie字段来写入客户端也可以通过JS脚本写入客户端。当调用站点资源时,会自动将Cookie的全部内容附加在HTTP协议头中的cookie字段,并发送给Cookie所属站点。
  2. 第三方Cookie是相对于场景而言的,在您访问A站点时,写入或读取B站点域的Cookie便是第三方Cookie。
  3. 此时A站点可以写入B站点Cookie但无法读取B站点Cookie。

什么是SameSite?

SameSite是Cookie中可放置并能够被浏览器识别的字段。SameSite可以有三个值,分别是Strict,Lax和None。

  • Strict表示该Cookie仅用作第一方Cookie。并且当用户从A网站移动到B网站时,首次访问中不发送标为Strict的B网站Cookie。这对安全性需求较高的网站比较适用。如果你的B网站登录状态为“登录中”,那么A网站点到B网站时,登录状态为“未登录”。用户需要再点一次登录。这对一些“更改密码”或者“进行结账”的访问比较合适。
  • Lax与Strict大致相当,表示该Cookie仅用作第一方Cookie。但去掉了首次从其他网站来的推荐访问不发送Cookie的限制。
  • None则表示该Cookie可被跨域发送。当前版本的Chrome浏览器中,如果Cookie没有声明SameSite的值,则默认为None。

在2月4日发布的新版Chrome 80中默认值将为Lax

SameSite和Secure如何设置?

如果你现今使用的是Chrome浏览器76以上版本,那么将会看到许多下图显示的Warning。

现在您的Chrome DevTools中将会出现警告
现在您的Chrome DevTools中将会出现警告

该警告说明您的网页中存在跨域读取的Cookie,即第三方Cookie。在新版本的Chrome 80中(其他浏览器也会陆续更新)这些第三方Cookie的内容将不会被发送。

如果您的服务依赖第三方Cookie正常运作,那么届时在新的浏览器环境下将发生错误,除非Cookie中标识出SameSite=None且为Secure。我们列举一下常见的第三方Cookie的使用场景有:

  • 广告跨域跟踪
  • 第三方Widgets,如播放器
  • SSO单点登录

事实上Cookie中的SameSite标识符早已被大部分浏览器采用。在Cookie的内容中只要加入SameSite=None; Secure即可。如原来的Cookie是这样在HTTP头中设置的:

Set-Cookie: Maxket-Follower=1

现在需要像下面这样设置:

Set-Cookie: Maxket-Follower=1; SameSite=None; Secure

这样就明确声明了SameSite为否时可用,且必须通过HTTPS发送。

谷歌进行第三方Cookie规则更新的意义

Cookie的不安全主要在三个方面:

  1. 中间人效应:Cookie的传输将会经过多个路由器,它们都将获得Cookie的内容。而Cookie的内容往往标识了登录状态。解决方法便是使用更安全的HTTPS协议进行传输。
  2. XSS跨站脚本(Cross-Site Scripting):许多网站会从第三方加载脚本,这些脚本可以读取第一方Cookie并泄露给其他人。解决方法是在Cookie中加入HttpOnly标识。
  3. CSRF跨站请求伪造(Cross-Site Request Forgery):这是利用网站漏洞和用户未登出第三方网站进行的攻击。在SameSite问世之前,我们可用通过HTTP头中的Referer字段进行校验。

SameSite为CSRF的防护更加上了一层保险。我们有理由相信谷歌对Chrome进行如此更新显示了其迎合网络安全和个人隐私保护的姿态。扼杀第三方Cookie对以广告为主要收入来源的谷歌有正面的影响也有负面的影响,至少短期内弊大于利,它会削弱广告服务商的跟踪能力。但是长期来看,由于谷歌这个巨无霸的存在,不管是浏览器方面还是登录状态,谷歌都比其他竞争对手更容易跟踪用户的行为,甚至能跟踪跨设备行为,马太效应将加剧。

看来2月4日前又有好多工程师需要忙于更新Cookie设置了,留给他们的时间不多了。

了解更多关于Cookie和SameSite,请查看Chrome官方博客

类似文章