Original-URL des Artikels: https://www.golem.de/news/google-chrome-soll-herkunft-von-cookies-unterscheiden-koennen-1905-141117.html    Veröffentlicht: 08.05.2019 10:43    Kurz-URL: https://glm.io/141117

Google

Chrome soll Herkunft von Cookies unterscheiden können

Die Entwickler von Chrome wollen die Nutzung des Same-Site-Attributs für Cookies forcieren. Damit lässt sich unterscheiden, ob diese von First-Level- oder Third-Level-Domains kommen. Letztere lassen sich dann auch einfacher löschen.

Als Teil seiner Initiative für zumindest etwas mehr Kontrolle über die Privatsphäre will Google seinen Umgang mit Cookies im hauseigenen Browser Chrome anpassen. Dafür sollen Cookies künftig über das sogenannte Same-Site-Attribut danach unterschieden werden können, ob diese von der Domain kommen, die Nutzer gerade ansurfen (First-Level), oder von einer externen Domain, die dort nur eingebunden ist (Third-Level). Vor allem Letztere werden häufig zum Verfolgen von Nutzern über mehrere Webseiten hinweg verwendet.

Das Same-Site-Attribut verfügt über mehrere vorgegebene Werte, mit denen Webentwickler festlegen können, ob die Verwendung des Cookies auf die eigene Seite beschränkt bleiben soll oder eben nicht. Detailliert erklärt wird das Verhalten in einem Entwurf für einen Standard bei der IETF, der erstmals bereits im Jahr 2016 zusammen mit Mozilla vorgestellt wurde.

Google selbst erklärt das geplante Verhalten auf seinem Web-Dev-Blog. Mit Chrome 76, der Ende Juli stabil erscheinen soll, führt das Team die Option same-site-by-default-cookies ein. Dies führt dazu, dass alle Cookies ohne das Same-Site-Attribut auf First-Level-Domains beschränkt werden.

Sollen Cookies jedoch über mehrere Seiten hinweg funktionieren, muss das über die Richtlinie SameSite=None explizit von den Entwicklern angegeben werden. Der Chrome-Browser kann somit die intendierte Nutzung der Cookies ganz klar unterscheiden.

Kontrolle und Transparenz für Nutzer

Diese Unterscheidung möchte Google dazu nutzen, die Anwender des Browsers darüber informieren zu können, wie genau einzelne Seiten ihre Cookies einsetzen. Nutzer sollen damit darüber hinaus die Möglichkeit bekommen, die Third-Level-Cookies einfacher zu löschen. Informationen wie Logins oder Einstellungen, die in First-Level-Cookies gespeichert werden, bleiben dabei aber erhalten.

Die neue Funktion habe laut Google außerdem auch Vorteile für die Sicherheit der Nutzer, weil Cookies damit vor Cross-Site-Injection-Angriffen geschützt würden, wie dies etwa mit Spectre oder auch CSRF möglich sei. Darüber hinaus will Google Cross-Site-Cookies künftig nur noch über HTTPS-Verbindungen zulassen.

Getestet werden kann das neue Verhalten der Cookies im aktuellen Dev-Build von Chrome, der in wenigen Monaten zur stabilen Version 76 werden soll.  (sg)


Verwandte Artikel:
Google: Datensammler verspricht Datenkontrolle   
(08.05.2019, https://glm.io/141111 )
Automotive: Google will Android-Auto-App durch Assistant ersetzen   
(08.05.2019, https://glm.io/141112 )
Google: Neue Android-Q-Beta kommt mit Dark Mode und Gesten   
(08.05.2019, https://glm.io/141108 )
Microsoft Edge: Chromium-Edge bringt IE-Modus und Privatsphäre-Tools   
(06.05.2019, https://glm.io/141071 )
HEIST: Timing- und Kompressionsangriff auf TLS   
(04.08.2016, https://glm.io/122508 )

© 1997–2019 Golem.de, https://www.golem.de/