Комментарии 12
Либо для Google Analytics будет исключение, либо гугл придумал ещё один способ ставить межсайтовые маячки, что напрягает. В последнем случае все конкурирующие рекламные сети резко обломаются, один лишь GA будет как-то работать.
Google Analytics — это скрипт, а не запрос к другому сайту. Данный скрипт выполняется в пределах текущего сайта, и кука ставится тоже на текущем. Т. е. на Google Analytics это не повлияет.
В статье говорилось о запросах, например, картинках, AJAX, файлах (например, javascript; да, кука не будет передаваться, но если этот javascript идёт на выполнение, то он может поставить сам куку где надо), iframe и т. д. Причём кука ставится именно на чужом сайте, а не текущем. Проблем с безопасностью это не даёт, но позволяет отслеживать пользователя, если автор сайта использует твои файлы.
В статье говорилось о запросах, например, картинках, AJAX, файлах (например, javascript; да, кука не будет передаваться, но если этот javascript идёт на выполнение, то он может поставить сам куку где надо), iframe и т. д. Причём кука ставится именно на чужом сайте, а не текущем. Проблем с безопасностью это не даёт, но позволяет отслеживать пользователя, если автор сайта использует твои файлы.
Нет, GA как раз использует межсайтовые куки наряду с локальными для сайта. И конечно для таких кук будет исключение. Не только для Гугла, а вообще для всех. Установка SameSite в None, как описано в статье.
Само обновление направлено не на борьбу с межсайтовой идентификацией в принципе, а только на несанкционированное использование, когда сервер ставит куки для внутреннего использования, а ресурс загружают извне (и в теории, могут получить значение этих кук, если сервер их выдает).
Само обновление направлено не на борьбу с межсайтовой идентификацией в принципе, а только на несанкционированное использование, когда сервер ставит куки для внутреннего использования, а ресурс загружают извне (и в теории, могут получить значение этих кук, если сервер их выдает).
Только что проверил — GA не использует куки при запросе к своим серверам. Куки ставятся только на текущем сайте, а потом просто добавляются в запрос как обычный параметр (без всяких кук). Таким образом, нововведение никак не затронет GA, о чём я и сказал в своём комментарии выше.
Многие рекламные сети тоже не будут затронуты, по крайней мере в тех случаях, когда автор сайта ставит под угрозу свой сайт и запускает их скрипты без всяких iframe и ограничений на него. А если скрипт запускается безопасно, или если это изначально iframe, то автору сайта для возможности идентификации юзера рекламной сетью придётся установить SameSite=«Lax» (хотя логичнее было бы дать возможность указать конкретные домены, например, свой соседний домен (при условии, что верхний не даёт важных кук нижним) или домен более верхнего уровня, либо домен рекламной сети).
Многие рекламные сети тоже не будут затронуты, по крайней мере в тех случаях, когда автор сайта ставит под угрозу свой сайт и запускает их скрипты без всяких iframe и ограничений на него. А если скрипт запускается безопасно, или если это изначально iframe, то автору сайта для возможности идентификации юзера рекламной сетью придётся установить SameSite=«Lax» (хотя логичнее было бы дать возможность указать конкретные домены, например, свой соседний домен (при условии, что верхний не даёт важных кук нижним) или домен более верхнего уровня, либо домен рекламной сети).
Под исключением GA я подразумевал соответствующий домен (www.google-analytics.com). А так, да — скрипт GA, выполняющийся на новом сайте (куда пользователь ранее не заходил), отправляет запрос на www.google-analytics.com, и браузер в этот запрос добавляет сохранённые куки (от этого домена), что позволяет GA подключить сессию на новом сайте к общей истории пользователя.
И конечно для таких кук будет исключение. Не только для Гугла, а вообще для всех. Установка SameSite в None, как описано в статьеИнтересно, какое поведение будет по умолчанию. Если такое, как без этого атрибута, то наверное большой паники не будет, просто кто захочет — сможет улучшить безопасность.
Почему не хотите текст статьи прочитать?
Уже в 76 версии, будет по умолчанию включен флаг «same-site-by-default-cookies». Если в заголовке не будет атрибута SameSite, браузер автоматически выставит значение «SameSite=Lax», которое ограничит отправку сookie для вставок со сторонних сайтов. При этом владельцы сайтов смогут снимать это ограничение, прописывая при установке сookie параметр SameSite=None.
ок, то есть с одной стороны, гугл хочет автоматически «защитить» некоторые сайты, а с другой, подорвать работу тех рекламных сетей, которые не внесут изменения в свой серверный код, добавляя chrome-only фичу.
А опишите решение, которое позволит сделать первое, не сделать второе, и поясните почему это решение лучше, чем эта фича.
Такое чувство, что у нас есть какая-то установка — найти в любых действиях Гугла негатив (не особо вникая в суть самого действия). Порой это трудно, но вы стараетесь, стараетесь…
НЛО прилетело и опубликовало эту надпись здесь
Интересно, какое поведение будет по умолчанию.Я Вас не понял. В статье же сказано — по умолчанию будет Lax, т. е. сторонние куки будут блокироваться. На Google Analytics это никак не повлияет, смотрите мой комментарий.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
В новых версиях Chrome появится защита от передачи сторонних cookie и скрытой идентификации