Chrome 80: nuova gestione dei cookie

In questi giorni è atteso il rilascio della stable release di Chrome 80. La nuova versione del browser di Google introdurrà delle novità importanti per quanto riguarda la gestione dei cookie.

Chrome 80 si affiderà all'attributo SameSite per capire come gestire i cookie presenti nel sito Web visitato. In buona sostanza i gestori dei siti internet dovranno dichiarare in modo esplicito, nel codice del sito, come debbono essere trattati i cookie.

L'adozione dell'attributo HTML SameSite è stata annunciata lo scorso maggio dal Developer Advocate Rowan Merewood tramite un articolo pubblicato sul blog di Google e dedicato a Web developer:

In questi anni i cookie si sono evoluti notevolmente, ampliando le loro capacità. Tuttavia tale tecnologie presenta numerosi problemi inerenti la privacy. Ecco perché diverse aziende hanno iniziato a limitarne l'uso.

Molto spesso è possibile trovare il medesimo cookie su diversi domini. Questa tipologia di cookie viene definita di "terze parti", mentre i cookie che restano sempre e solo su un dominio sono quelli "first party". Ovviamente queste non sono etichette definitive e dipendono dal contesto in cui si trova l'utente. Su un siti Web un cookie può essere visto come first party mentre su altri domini viene considerato come di terze parti.

Per rendere meglio definita e più "rigida" la definizione di cookie è possibile utilizzare l'attributo SameSite. Tale attributo consente di dichiarare al browser se l'utilizzo del cookie deve essere limitato al dominio su cui si sta navigando o se è possibile utilizzare quel cookie anche su altri siti.

I Web developer possono impostare l'attributo SameSite associandolo a tre valori diversi, ovvero:

• None, per autorizzare la diffusione del cookie su altri domini (cookie di terze parti);
• Strict, per consentire l'uso del cookie solo in un determinato dominio (cookie first party);
• Lax, per indicare delle restrizioni alla cross-origin requests, in modo da tutelarsi contro gli attacchi CSRF, dando la possibilità di essere usato solo come cookie first party.

Quando l'attributo SameSite non è presente di default Chrome 80 tratterà il cookie come se fossero first-party, dunque non accetterà il medesimo cookie in domini esterni al sito Web visitato. In buona sostanza i Web developer che vogliono che i propri cookie possano essere utilizzati anche su siti diversi dal proprio dovranno impostare l'attributo None.

Tuttavia tale impostazione, secondo il team di Google, potrebbe causare incompatibilità con alcuni siti Web. Ecco perché per l'utente di Chrome sarà sempre possibile ripristinare il vecchio modello di gestione dei cookie.