Chrome 的 SameSite Cookie 更新到底是什么

Question

2020.02.04 Google 即将推出新的 Chrome 更新，该更新承诺提供一系列旨在使浏览器更快，更安全的新功能- 新的 cookie 打开方式 。 SameSite 更新将要求网站所有者明确声明可在其他网站上使用的第三方 cookie 的标签。 开发表示，没有正确标识的 Cookie 不能在 Chrome 浏览器中起作用，而 Chrome 浏览器占据整个浏览器市场 64％的份额。

即将带来的变化

Google 于去年 5 月首次宣布，第三方（例如广告技术公司）在 Chrome 80 及更高版本中将无法访问不包含 SameSite = None 和 Secure 标识的 Cookie。安全标识意味着需要通过 HTTPS 请求设置和读取 Cookie。

目前，Chrome SameSite Cookie 的默认设置为：None，它允许第三方 Cookie 跨站点跟踪用户。但是从 2020.2 月开始，Cookie 将默认设置为 SameSite = Lax ，这意味着仅当浏览器 URL 中的域与 cookie 的域（第一方 cookie）匹配时才设置 cookie。

任何带有 SameSite = None 标签的 cookie 也必须具有安全（Secure）标识，这意味着该 cookie 将只有通过 HTTPS 发出的请求来创建。同时，“ SameSite = Strict”指完全限制跨站点共享，即使是同一发布者拥有的不同域之间也是如此。

Firefox 和 Microsoft Edge 也表示，它们也将采用 SameSite = Lax 默认值。

为什么谷歌要做这个更新

第三方 cookie 会使人们容易受到恶意跟踪、数据泄漏的影响，并使他们容易受到所谓的跨站点请求伪造攻击(CSRF)。例如，用户可能单击电子邮件中的恶意链接，从而使图谋不轨者能够登录其银行网站。

谷歌发言人说：“为了将网络生态系统移到更健康的位置，当未指定 SameSite 时，我们将更改默认行为，使其自动默认为更安全的选项，而不是不太安全的选项。”

发布者需要做什么才能更好的适应更新？

发布着可以通过打开 chrome：// flags 地址, 并启用 ＃same-site-by-default-cookies 和 ＃cookies-without-same-site-must-secure 选项，开始测试自己的网站是否受到的影响，以查看是否有问题。如果网站还未开启 HTTPS 安全页面，应尽快做还迁移改造。

Google 鼓励发布者查看开发人员工具中的警告，以检查包括广告技术和分析提供商在内的供应商是否在其网站上设置或访问了没有正确标识的第三方 Cookie。

有什么风险？

数字营销机构规划与洞察总监凯文·乔伊纳（Kevin Joyner）表示，有时发布者会使用第三方 Cookie 进行登录，并记住他们应该真正使用第一方 Cookie 的用户偏好。当发布者拥有多个不同的网站和域时，往往会发生这种情况-因此，希望维护跨越多个域的单点登录的发布者将需要确保其 Cookie 配置是兼容地。

对于那些建立了依赖 cookie 的受众数据库的供应商来说，最大的潜在后果是：例如，Adobe 在一篇博客文章中警告说，由于某些合作伙伴可能未及时进行必要的更改，因此其听众管理客户的 Cookie 匹配可能会减少。

乔伊纳说：”带来的问题是新的标准 cookie 将与旧的 cookie 不兼容。这意味着营销渠道突然变得毫无用处。”

这是 cookie 改革的开始吗

不完全。关于 SameSite 更新是否是 Google 的先驱，专家的意见存在分歧，这与苹果的 智能防追踪 和 Firefox 的 增强跟踪保护 相似，收紧其更宽泛的 cookie 政策-尤其是 Google 拥有自己的广告业务来保护。

Chrome 已经为用户提供了阻止第三方 cookie 并清除其所有 cookie 的功能。 SameSite 的更改应允许用户对其隐私设置进行更细微的控制，因为将更准确地指定第一方和第三方 Cookie，以便他们可以清除广告跟踪 Cookie，但不影响其登录详细信息和偏好。

但是更进一步，谷歌已经暗示了一个无 cookie 网络的外观。在去年 11 月举行的 Chrome 开发者大会上，负责 Chrome 隐私和跟踪预防的 Google 软件工程师 Michael Kleber 谈到了从 Cookie 转向 大小合适的 API 的问题，这些 API 不允许随意通过网页跟踪用户隐私。 Chrome 浏览器还在探索诸如联合学习同类群组之类的技术，以继续使行为广告能够正常工作。