image

Google wijst ontwikkelaars op nieuw cookiebeleid Chrome 80

donderdag 24 oktober 2019, 11:59 door Redactie, 6 reacties

Webontwikkelaars zullen vanaf begin volgend jaar nieuwe cookie-instellingen moeten gebruiken als ze willen dat cookies van hun websites voor derde partijen benaderbaar zijn, dat laat Google weten. Volgens de internetgigant hebben de nieuwe instellingen allerlei veiligheidsvoordelen en zorgen ze voor meer transparantie en gebruikerskeuze.

Websites kunnen zowel first-party cookies voor hun eigen domein plaatsen, alsmede third-party cookies van externe diensten die op de website actief zijn, zoals advertentienetwerken, socialmediaplug-ins en widgets. Ook wanneer een partij meerdere websites heeft en op die websites een cookie gebruikt, zal het cookie nog steeds als third-party worden gezien wanneer het domein niet overeenkomt met de site(s) waarvandaan het cookie wordt benaderd, ook al zijn de sites en cookies van dezelfde partij.

Wanneer een cookie alleen toegankelijk mag zijn voor de first-party hebben ontwikkelaars keuze uit twee instellingen, SameSite=Lax of SameSite=Strict, om externe toegang te voorkomen. Maar weinig ontwikkelaars maken echter gebruik van deze opties, aldus Google. Daardoor zouden first-party cookies zijn blootgesteld aan aanvallen zoals cross-site request forgery. Om websites en gebruikers te beschermen zal er een nieuw "secure-by-default" model worden toegepast, dat ervan uitgaat dat alle cookies tegen externe toegang moeten zijn beschermd, tenzij dit anders is opgegeven.

Ontwikkelaars moeten straks de nieuwe cookie-instellingen SameSite=None gebruiken om aan te geven dat cookies voor meerdere websites toegankelijk zijn. Wanneer deze instelling wordt gebruikt moet er ook het aanvullende "Secure" attribuut worden gebruikt, wat ervoor zorgt dat third-party cookies alleen via https-verbindingen benaderbaar zijn. Google benadrukt dat dit niet alle risico's van third-party toegang oplost, maar wel bescherming tegen netwerkaanvallen biedt.

Met de lancering van Chrome 80 in februari volgend jaar zal de browser alle cookies die geen opgegeven SameSite-waarde gebruiken als SameSite=Lax cookies behandelen. Alleen cookies met de SameSite=None en Secure-instelling zullen extern toegankelijk zijn. Zowel Microsoft als Mozilla hebben aangegeven het nieuwe cookiebeleid ook te zullen volgen. Webontwikkelaars en andere partijen die met third-party cookies werken krijgen dan ook het advies om de vereiste instellingen voor die cookies door te voeren.

Image

Reacties (6)
24-10-2019, 15:32 door Anoniem
Kan er niet een wereldwijd verbod op cookies komen?
24-10-2019, 19:16 door Anoniem
Door Anoniem: Kan er niet een wereldwijd verbod op cookies komen?

Dat lijkt me inderdaad een prima plan, cookies hebben voor de gebruiker geen waarde. Als er informatie moet worden onthouden over de gebruiker of klant kan dit prima op de server.
24-10-2019, 20:07 door [Account Verwijderd] - Bijgewerkt: 24-10-2019, 20:08
Door Anoniem: Kan er niet een wereldwijd verbod op cookies komen?

Hoe gewenst ook....je begrijpt zeker wel dat dit onrealistisch is, toch?
De VN ziet je al aan komen en dan stel, stel... dat zo'n voorstel er ooit komt wordt er subbiet tegengestemd door landen die de host zijn van internet giganten zoals Alibaba, Amazon, eBay, Zalando en God weet welke andere grote commerciële multinationale onderneming die op het web actief is.
25-10-2019, 10:13 door Anoniem
Wat heeft het nou voor zin om dat aan de kant van de cookies te regelen?
Het probleem is niet dat die cookiebakkers niet weten wat ze met hun cookies willen, het probleem is dat de gebruikers
daar niet altijd zin in hebben.
Ze zouden beter een geavanceerder beheer systeem kunnen invoeren voor de gebruikers kant, dat je bijvoorbeeld een
verschillende cookie lifetime kunt instellen voor third-party cookies dan voor first-party cookies. Zodat je een site die
"niet wil werken zonder cookies" wel kunt gebruiken maar dat je daarmee niet je hele hebben en houwen aan zo'n
third-party netwerk overdraagt.
En dan zodanig dat aanbieders van "blockers" dit op een vriendelijke manier voor de gemiddelde gebruiker kunnen
beheren via een addon ofzo, als die gebruikers dat willen.
25-10-2019, 14:44 door Anoniem
Door Anoniem: Kan er niet een wereldwijd verbod op cookies komen?
Misschien is het handig als je eerst begrijpt wat een cookie is, voordat je over een verbod spreekt. Ik gok dat je een specifieke soort cookies (tracking cookies) bedoelt?
25-10-2019, 19:27 door Anoniem
Door Anoniem: Kan er niet een wereldwijd verbod op cookies komen?

Dan
Door Wilbert Wintergaard:
Door Anoniem: Kan er niet een wereldwijd verbod op cookies komen?

Hoe gewenst ook....je begrijpt zeker wel dat dit onrealistisch is, toch?
De VN ziet je al aan komen en dan stel, stel... dat zo'n voorstel er ooit komt wordt er subbiet tegengestemd door landen die de host zijn van internet giganten zoals Alibaba, Amazon, eBay, Zalando en God weet welke andere grote commerciële multinationale onderneming die op het web actief is.

Daarnaast gebruikt zo'n beetje elk login systeem session cookies. Het alternatief is een session ID als parameter in de URL meegeven, maar dat lijkt mij al helemaal onwenselijk omdat die makkelijker uit kan lekken met alle gevolgen van dien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.