Google: Chrome 80 soll Same-Site-Attribut für Cookies forcieren
Im Mai dieses Jahres hat Google auf seiner Hausmesse I/O angekündigt, den Umgang mit Cookies im hauseigenen Browser Chrome anpassen . Ziel der Initiative ist es, Web-Entwickler dazu zu bringen, das Same-Site-Attribut von Cookies zwingend zu verwenden, um ihre Herkunft besser unterscheiden zu können. Wie die Entwickler im Chromium-Blog mitteilen(öffnet im neuen Fenster) , soll das Verhalten mit der Version 80 des Browsers forciert werden, die im Februar 2020 erscheinen wird.
Cookies im Browser können von der Domain kommen, die Nutzer gerade ansurfen (First-Level), oder von einer externen Domain, die dort nur eingebunden ist (Third-Level). Vor allem Letztere werden häufig zum Verfolgen von Nutzern über mehrere Webseiten hinweg verwendet. Das Same-Site-Attribut für Cookies verfügt dabei über mehrere vorgegebene Werte, mit denen Webentwickler festlegen können, ob die Verwendung des Cookies auf die eigene Seite beschränkt bleiben soll oder nicht.
In Chrome 80 soll der externe Zugriff auf Cookies nur noch dann erlaubt sein, wenn diese explizit als SameSite=None markiert sind. Ebenso muss das Attribut Secure gesetzt werden, das den Zugriff per HTTPS forciert. Dies führt dazu, dass alle Cookies ohne das Same-Site-Attribut auf First-Level-Domains beschränkt werden.
Google ist sich der Probleme bewusst, die die Änderung betroffenen Entwicklern möglicherweise bereitet. Das Unternehmen stellt deshalb ausführliche Beispiele(öffnet im neuen Fenster) zur Implementierung des Attributs bereit sowie weiterführende Erklärungen dazu(öffnet im neuen Fenster) . Die Entwickler-Werkzeuge des Chrome-Browsers warnen bereits seit Version 77 vor dem Fehlen des Attributs.
Zusätzlich zu Google planen auch Mozilla im Firefox-Browser(öffnet im neuen Fenster) sowie Microsoft im Edge-Browser(öffnet im neuen Fenster) künftig ein ähnliches Verhalten umzusetzen.