Chrome ปรับการทำงานของคุกกี้แบบ SameSite, ป้องกันการตามรอยแบบ Fingerprinting

by mk
9 May 2019 - 14:16

กูเกิลประกาศฟีเจอร์ใหม่ด้านความปลอดภัยและความเป็นส่วนตัวของ Chrome ที่งาน Google I/O 2019

ฟีเจอร์แรกคือปรับพฤติกรรมการทำงานของคุกกี้ใหม่ คุกกี้เป็นเทคโนโลยีที่เกิดขึ้นมานานตั้งแต่สมัยเว็บยุคแรก และแทบไม่ถูกเปลี่ยนแปลงเลย ปัจจุบันฟอร์แมตของคุกกี้ยังมีแบบเดียว แม้มีวิธีการใช้งานแตกต่างกัน ส่งผลให้เกิดปัญหาคุกกี้ข้ามเว็บ (cross-site vs same-site) ที่กระทบเรื่องความปลอดภัยและความเป็นส่วนตัว

สิ่งที่ Chrome ทำคือรองรับค่าคุณสมบัติ (attribute) ตัวใหม่ของคุกกี้คือ "SameSite" ซึ่งเป็นการระบุว่าคุกกี้นั้นสามารถไปทำงานบนเว็บไซต์อื่นได้หรือไม่ (กำหนดค่าได้ 3 แบบคือ None, Strict, Lax)

ในอนาคตระยะถัดไป Chrome จะกำหนดค่าดีฟอลต์ของคุกกี้ข้ามไซต์ให้เข้มงวดขึ้น หากคุกกี้นั้นไม่ระบุค่า SameSite มาก็จะถูกจำกัดให้ทำงานเฉพาะในเว็บตัวเอง (same-site) เท่านั้น ไม่สามารถโผล่ไปยังเว็บไซต์อื่นๆ ที่ฝังเนื้อหาจากเว็บไซต์อันแรกได้

Chrome 76 จะเป็นเวอร์ชันแรกที่รองรับฟีเจอร์นี้ แต่จะต้องเปิด flag ชื่อ same-site-by-default-cookies ด้วยตัวเองก่อน ซึ่งกูเกิลยังไม่ระบุช่วงเวลาว่าจะเปิดค่านี้เป็นดีฟอลต์เมื่อใด

อีกฟีเจอร์ที่กูเกิลพูดถึงคือ ระบบป้องกันการตามรอย (fingerprinting) โดยเว็บไซต์หลายแห่งมีวิธีการตรวจสอบพฤติกรรมของผู้ใช้ (จากปัจจัยหรือข้อมูลหลายๆ อย่างรวมกัน) เพื่อประเมินว่าเป็นผู้ใช้คนเดียวกันหรือไม่ เทคนิคนี้ส่งผลกระทบต่อความเป็นส่วนตัวของผู้ใช้อย่างมาก และไม่มีความโปร่งใสใดๆ (ผู้ใช้ไม่มีทางรู้ได้ว่าตัวเองถูกตามรอยหรือเปล่า) กูเกิลระบุว่า Chrome จะแก้ปัญหานี้ โดยลดโอกาสที่จะถูกดึงข้อมูลไปทำ fingerprint ลง แต่ยังไม่ให้รายละเอียดอื่นๆ เพิ่มเติม

ที่มา - Web.dev, Chromium

Blognone Jobs Premium