谷歌因监管阻力再次推迟第三方 Cookie 淘汰计划
谷歌周二表示,它将无法再按照原定时间表在 2024 年内从 Chrome 浏览器中移除第三方 Cookie,理由是“持续面临协调行业、监管机构和开发商不同反馈的挑战”。它仍在与广告行业和监管机构合作制定该计划,其中包括英国竞争和市场管理局,该机构正在对谷歌的做法进行审查。谷歌表示,如果能与监管机构达成协议,它希望在 2025 年初消除第三方 Cookie。
广告商正在高度关注这些变化,因为近三分之二的互联网流量通过 Chrome,使其成为接触消费者的重要门户,这一举措将最终改变网站上的广告定位方式。
—— 彭博社,谷歌博客
Chrome 将通过新的网络标准打击 Cookie 劫持问题
当前大量恶意软件正通过窃取浏览器 Cookie 来劫持登录会话获取网络帐户访问权限,针对该问题谷歌 Chrome 团队正在提议使用“设备绑定会话凭证 (DBSC)”来应对这种情况。方法是“将身份认证会话绑定到设备上”,并使用设备本地的公私钥配对的方式”来对抗 cookie 劫持。通过使用受信平台模块(TPM)或基于软件的方案将私钥存储在操作系统中,从而使得私钥更难被导出。在用户隐私方面,“每个会话都由唯一的密钥支持,并且 DBSC 不允许站点将同一设备上不同会话的密钥关联起来。” DBSC 项目的目标是成为“开放网络标准”,目前已经在 Chrome Beta 中针对一些谷歌帐户进行了测试,谷歌计划在今年年底前开展更大规模的试行。
—— 9to5Google,PC Mag
PayPal 为检测 Cookie 被盗的新方法申请专利
PayPal 已经提交了一项新的专利申请,该专利可以识别“Super-Cookie”何时被盗。这可能会改进基于 Cookie 的身份验证机制并限制帐户接管攻击。PayPal 想要解决的风险是黑客窃取包含身份验证令牌的 Cookie,从而无需有效凭据即可登录受害者帐户并绕过双重验证。PayPal 在专利申请中表示:“窃取 Cookie 是一种复杂的网络攻击形式,攻击者从受害者的计算机上窃取或复制 Cookie 到攻击者的网络浏览器上。”
—— Bleepingcomputer
Cloudflare计划本周开始不再使用Cookie标识用户,往后用户使用Cloudflare CDN服务请求头里将不再包含自身业务逻辑以外额外Cookie。