Chrome 80 zpřísňuje pravidla pro cookies třetích stran, popup okna a použití HTTP

5. 2. 2020

Další slibované klíčové novinky pro soukromí uživatelů na webu a jejich menší obtěžování stránkami přicházejí do čerstvého Chrome verze 80. Za prvé Chrome 80 ve výchozím nastavení povoluje stránkám používat pouze sušenky z vlastní stránky/domény, nikoli třetích stran. Provozovatelé webů mohou sušenky zvenku povolit v HTTP hlavičce.

Dále osmdesátka blokuje, resp. umožňuje deaktivovat otravná vyskakovací hlášení webů žádající typicky třeba povolení informovat vás o nových článcích či příspěvcích.

V neposlední řadě dochází k druhému kroku ve tříkrokovém procesu zákazu používání mixu HTTP a HTTPS obsahu na webových stránkách. Připomeňme, že prosincové Chrome 79 přineslo možnost si HTTP obsah ručně odblokovat. Nová verze 80 už automaticky přepíná audio a video obsah na HTTPS a pokud jej takto nepůjde načíst, zablokuje jej (uživatel má opět možnost si to odblokovat ručně). Obrázky načítané přes HTTP stále budou fungovat, ale prohlížeč bude indikovat nezabezpečený obsah na stránce. Budoucí verze 81 v tomto měsíci už bude obrázky automaticky převádět na HTTPS a pokud se nenačtou, zablokuje je. Dále zde najdeme spoustu novinek pro vývojáře, které jako vždy shrnuje Pete LaPage. Mimochodem došlo konečně třeba také na SVG favicony.

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

6. 2. 2020 9:49

uwe.filter

Pripada mi trochu vtipne resit v Chrome nejake soukromi, kdyz pak vsemozna i nemozna data stejne rovnou sypu do chrtanu Googlu...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
6. 2. 2020 10:01

Petr Krčmář

Nemůžu rezignovat na soukromí jen proto, že jedna firma o mě má nějaké informace. Někomu je prostě potřeba věřit, pokud to není Google, může to být Mozilla, vývojáři Debianu, Red Hat, Canonical, Apple nebo někdo další.

Někomu věřím, používám jeho služby, předávám mu dobrovolně nějaká data a předpokládám, že další nepovolené subjekty k těm datům přístup nemají. Proto je dobré řešit soukromí u prohlížeče, který vyvíjí nějaká firma.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
6. 2. 2020 11:55

Miroslav Šilhavý

Problémem v případě Googlu je jeho obrovská síla. Nejprve si své systémy připraví na takovou novinku a teprve pak ji zavede. Ostatní, zejména malí, se pak můžou opupínkovat, aby nový výmysl dohnali.

Google za zaříkadlo bezpečnosti až moc skrývá svoje obchodní zájmy a v tom je ten problém. Tímto postupem všechny ostatní postupně devitalizuje a zbude jen Google a pár nadšeneckých projektů.

Jinak samozřejmě máte pravdu v tom, že někomu se důvěřovat musí. Stejně tak se ale musí neustále přemýšlet a kontrolovat, jestli si tu důvěru zaslouží a kritizovat, pokud to v nějakém ohledu nedělá dobře.
6. 2. 2020, 11:57 editováno autorem komentáře
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
6. 2. 2020 12:11

Filip Jirsák

Stříbrný podporovatel

Nejprve si své systémy připraví na takovou novinku a teprve pak ji zavede.
Co přesně je na tom špatně? Měl by tu změnu zavést a sám patřit k opozdilcům, kteří nejsou schopni za 9 měsíců tu změnu implementovat?

Google za zaříkadlo bezpečnosti až moc skrývá svoje obchodní zájmy a v tom je ten problém.
Na tohle existuje hezké české pořekadlo – kdo chce psa bít, hůl si najde. Kdyby to Google nezavedl takhle, budete jej kritizovat za to, že upřednostňuje svoje obchodní zájmy a proto zavedení SameSite cookie zdržuje.

kritizovat, pokud to v nějakém ohledu nedělá dobře
A nebo můžete kritizovat prostě z principu jakýkoli krok, jen protože je to Google nebo CZ.NIC…
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
6. 2. 2020 12:40

Miroslav Šilhavý

Co přesně je na tom špatně? Měl by tu změnu zavést a sám patřit k opozdilcům, kteří nejsou schopni za 9 měsíců tu změnu implementovat?

Především by měla existovat široká diskuse, jestli taková změna představuje přínos vs. náklady, které to všem způsobí. Je potřeba si uvědomit, že Google má takové postavení, že realizuje ohromné úspory z rozsahu. Pro něj je zavedení nové technologie daleko levnější "na hlavu", než pro ostatní. Právě toto s sebou nese znaky zneužití podstatné obchodní síly.

Představte si, že by pět největších obchodních řetězců (ovládají přes 50 % trhu) a dva největší pivovary zavedly prodej piva v nestandardní, ale lepší lahvi. Na první pohled přínos pro spotřebitele - láhev třeba lehčí, skladnější, vícekrát recyklovatelná. Jenže na druhý pohled zjistíte, že za přínosem pro spotřebitele se skrývá to, že stovky malých řetězců a statisíce jednotlivců budou muset nakupovat jen u dodavatelů, kteří prodávají právě toto vybrané zboží. Kdo na tom prodělá? Spotřebitel.

Kdyby to Google nezavedl takhle, budete jej kritizovat za to, že upřednostňuje svoje obchodní zájmy a proto zavedení SameSite cookie zdržuje.

Tyto technologie se dají zavádět principem opt-in. Kdo chce danou technologii používat, nastaví si příslušné headery a prohlížeč to bude respektovat. Zavést to pricipem opt-out je prasárna. Konkurence buďto musí zaplatit náklady s přenastavením (vyšťavování konkurence), nebo to přestane fungovat a zákazník uteče (jaká je přechodová cesta, to určitě Google ví).
6. 2. 2020, 12:43 editováno autorem komentáře
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
6. 2. 2020 14:08

Filip Jirsák

Stříbrný podporovatel

Především by měla existovat široká diskuse, jestli taková změna představuje přínos vs. náklady, které to všem způsobí.
Na internetu se takovéhle věci obvykle řeší pomocí takzvaných RFC dokumentů, které vznikají právě na základě té diskuse. Konkrétně SameSite cookies se řeší v draft-ietf-httpbis-cookie-same-site-00. Takže ta široká diskuse, co by měla existovat, dávno existuje. Celý zbytek první část reakce je tedy irelevantní, je založen jenom na tom, že jste neznal fakta. Příště si možná nejdříve zjistíte skutečný stav věci a teprve pak to budete komentovat.

Tyto technologie se dají zavádět principem opt-in. Kdo chce danou technologii používat, nastaví si příslušné headery a prohlížeč to bude respektovat.
Ano, to je režim SameSite=Lax. Takhle už to v Chrome funguje několik měsíců.

Zavést to pricipem opt-out je prasárna.
Opět vaše neznalost. Teď se nic nezavádí, jenom se přepíná ta výchozí hodnota. Tj. z opt-in se teď překlopilo na opt-out. Aby celé to RFC dávalo smysl, je potřeba, aby výchozí hodnota v prohlížeči byla ta přísnější – jinak to uživatele chránit nebude.

Škoda, že si nejprve nezjistíte informace o tématech, o kterých chcete diskutovat.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
6. 2. 2020 14:14

Miroslav Šilhavý

Ano, to je režim SameSite=Lax. Takhle už to v Chrome funguje několik měsíců.

A mohlo to tak zůstat dál. Otázka bezpečnosti je především dvoustranný vztah mezi uživatelem a poskytovatelem služby. Na nich je, aby si nastavili standard. Technologie k tomu mají dávat platformu. Standardem se stane to, co budou lidé používat. Nyní se však stává standardem to, co si umane nejsilnější hráč na trhu prohlížečů. To je z principu špatně, i kdyby ten nápad byl sebelepší, takto se to nedělá.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
6. 2. 2020 14:24

Filip Jirsák

Stříbrný podporovatel

Na druhý pokus už jste si k tomu opravdu mohl něco nastudovat. Alespoň rozkliknout ten odkaz.
- Zobrazit celé vlákno