Om de privacy en veiligheid van internetgebruikers te verbeteren moeten cookies die via het onbeveiligde http worden verstuurd een kortere levensduur krijgen. Daarvoor heeft Chrome-engineer Mike West een voorstel op GitHub en Google Groups gedaan.
"Cookies die via het onversleutelde http worden gestuurd zijn zichtbaar voor iedereen op het netwerk. Deze zichtbaarheid stelt behoorlijke hoeveelheden data bloot aan aanvallers op het netwerk", aldus West, die op Twitter meldt dat via onversleutelde kanalen verstuurde cookies voor "echte risico's" voor de privacy van gebruikers zorgen. West ziet dan ook liever dat cookies alleen nog via https worden uitgewisseld.
Om het risico van onveilig verstuurde cookies te verkleinen wil West de levensduur beperken. "In plaats van voldoende oude cookies via onbeveiligde verbindingen te versturen zouden we ze moeten verwijderen uit de cookie-jar van de gebruiker", stelt de engineert. Zodra een gebruiker met http://example.com verbinding maakt, wordt er een "Cookie" header gemaakt. Als cookies die in deze header worden geplaatst voldoende oud zijn, worden ze van de header uitgezonderd en verwijderd. Het plan is om als levensduur te beginnen met bijvoorbeeld een jaar en dat dan verder af te bouwen om zo het risico te mitigeren dat cookies via onbeveiligde verbindingen vormen.
Volgens West kunnen cookies "fragiel" zijn, maar zullen gebruikers van een kortere cookie-levensduur waarschijnlijk weinig merken. "Aan de andere kant zullen diensten die van langlevende onveilige cookies gebruikmaken waarschijnlijk niet blij zijn, wat goed is. Er zijn duidelijke risico's bij het versturen van cookies via onbeveiligde kanalen, met name als het op grote schaal wordt gedaan als onderdeel van een advertentienetwerk." West heeft nu om feedback op zijn voorstel gevraagd. In het verleden heeft Mozilla al een keer naar een soortgelijke oplossing gekeken.
Deze posting is gelocked. Reageren is niet meer mogelijk.