How to become an author
Search
Write a publication
Pull to refresh

Comments 11

Может кто-нибудь внятно объяснить, какое влияние SameSite оказывает на ограничение пикселей-трекеров? Ведь владелец пикселя-трекера всегда может просто начать выдавать SameSite=None, и все, он снова работает, как и раньше работал. Какой вообще глубинный смысл SameSite, если владельцы сайтов могут его легко выставлять в none?

Total votes 3: ↑3 and ↓0+3
UFO just landed and posted this here
но корень проблемы именно в том, что куки уходят там, где разработчик сайта не ожидает, что они уйдут.

Именно так.
Шел 2020 год… Программисты все еще рассчитывают на «мои кукисы точно не утянут с моего сайта, поэтому я буду им всегда доверять». На самом же деле уже давно надо забывать про CSRF и тому подобное. Давно уже активно развиваются API-first системы, и надо рассчитывать только на подлинность персонализации, откуда бы она не прилетела. Это же API.
This comment wasn’t rated yet0
Насколько я понял то теперь по умолчанию куки будут отдаваться в запросе только к тому сайту, адрес которого у вас в адресной строке браузера. Если у вас загружается картинка со стороннего сайта, то в запросе все куки будут удалены. И если этот же пользователь зайдет на другой сайт с этой же картинкой-счетчиком, то оттуда будет также выслан запрос без куки и счетчик зафиксирует эти два запроса с разных сайтов как двух разных пользователей.
This comment wasn’t rated yet0

Присоединяюсь к вопросу. Насколько я понимаю, эта мера направлена только на защиту от CSRF атак.

This comment wasn’t rated yet0
Может кто-нибудь внятно объяснить, какое влияние SameSite оказывает на ограничение пикселей-трекеров..

По-моему всё в одну кучу смешали: отсебятину и поверхостный перевод…
Да ни как эта технология не предназначена для блокировки трекеров…
Она против CSRF-атак т. е. когда владелец сайта-хозяина cookies не хочет чтобы его подставляли на других сайтах…
Total votes 3: ↑3 and ↓0+3

Имхо самый железобетонный способ для защиты от CSRF — это проверка Origin (HTTP_ORIGIN) на стороне сервера. Потому что работает для всего и всегда (включая WebSockets по wss:// — собственно, для WebSockets только это и работает, если не считать рукодельный способ с CSRF-токеном).


Все остальное (что SameSite, что CSRF-токен) — это «костыли по месту». Поправьте меня, если неправ.

This comment wasn’t rated yet0
Скорее всего Вы правы, да я и не специалист в сетевых технологиях. Просто заинтересовала статья, потратил полчаса на чтение всяких английских оригиналов:
web.dev/samesite-cookies-explained
tools.ietf.org/html/draft-west-first-party-cookies-07
И просто вижу, что люди обсуждают сами не совсем понимая что…
Вы правы с точки зрения грамотной web-разработки:
это проверка Origin (HTTP_ORIGIN) на стороне сервера

Но здесь речь о браузере Chrome и компании Google, которая продвигает его и себя на рынке. Цель — позиционировать свой браузер как самый безопасный, который обрубает на корню всякие CSRF. А не учить кого-то грамотно на серверах запросы обрабатывать.
This comment wasn’t rated yet0
UFO just landed and posted this here
Sign up to leave a comment.

Other news

Your account

Sections

Information

Services

Support
© 2006–2024, Habr