In questi giorni il vostro browser Chrome si è aggiornato in automatico con nuove funzionalità e 56 fix di sicurezza, oppure lo farà a breve dal momento che la nuova versione Chrome 80 stabile e definitiva è in distribuzione già da martedì 4 febbraio.
Privacy e Sicurezza sono al centro dei maggiori cambiamenti e obiettivi a breve termine del colosso di Mountain View, come era prevedibile vista la centrale importanza del tema in questo momento storico e il lancio, la scorsa estate, dell’iniziativa Privacy Sandbox per la definizione di nuovi standard condivisi per il web.
Per gli utenti aumenterà di certo la consapevolezza del tema, anche solo grazie alle segnalazioni di blocco delle risorse non sicure, mentre per i proprietari di siti web e per gli sviluppatori sarà una spinta forzata a includere la sicurezza tra i principi base di ogni nuovo progetto oltre che ad adeguare i siti esistenti e tenerli costantemente aggiornati.
Il funzionamento dei siti non allineati alle nuove linee guida sarà sempre più compromesso perchè il gruppo di Mountain View detiene la leadership del settore e il potere di definire e attuare strategie e cambiamenti rilevanti.
Prima di proseguire con l’analisi delle novità tecniche del nuovo Chrome suggeriamo una breve check list di quello che serve al vostro sito web per essere allineato alle politiche di sicurezza attuali:
- piattaforma aggiornata (cms, plugin, etc.)
- certificato di sicurezza SSL abilitato
- tutti i contenuti sotto connessione sicura https
- pagine Cookie Policy e Privacy Policy
- segnalazione, banner informativo e blocco dei Cookie in linea con il Regolamento UE 2016/679
Vediamo ora nel dettaglio i maggiori aggiornamenti presenti in Chrome 80.
Alcuni cambiamenti del browser di Google sono visibili a tutti gli utenti, come la scomparsa dei pop up di notifica dei siti web. Uno strumento spesso abusato dagli sviluppatori e vissuto come vera e propria spam dagli utenti. Per questo motivo, in linea con le nuove politiche di privacy e salvaguardia dei navigatori, i pop up sono automaticamente bloccati da Chrome 80 e compaiono, molto più discretamente, come notifiche sotto un’icona nella barra degli indirizzi.
Un altro aggiornamento riguarda i contenuti misti http/https e tocca parecchi siti web che hanno installato un certificato di sicurezza ma in cui parte dei contenuti è ancora caricata tramite http. Si sancisce dunque un ulteriore passaggio verso la trasmissione completa in https che terminerà con le prossime versioni del browser. Al momento le risorse audio e video miste sono aggiornate automaticamente a https e bloccate in caso di mancato caricamento. Le immagini miste sono caricate ma segnalate come “Not Secure” nella Omnibox, altro nome con cui è conosciuta la barra degli indirizzi di Chrome.
L’aggiornamento toccherà nel prossimo futuro anche i file scaricabili come mostrato nella roadmap:
(Fonte immagine: https://www.punto-informatico.it/chrome-82-blocco-download-fonti-non-https/)
Gli utenti nel tentativo di scaricare file non https vedranno comparire messaggi di alert dalla versione 82 di Chrome e dalla versione 83 alla 86 inizieranno a non poter più salvare i diversi tipi di file nei loro hard disk.
Meno visibili ma di notevole importanza sono le modifiche introdotte sul cosiddetto cross-site tracking effettuato mediante cookie.
Fino ad oggi Chrome ha consentito di caricare e scambiare cookie tra siti web senza limiti, nel nuovo Chrome 80 invece solo i cookie impostati con l’attributo “SameSite” associato al valore “None” sono accessibili da terze parti e solamente attraverso connessione sicura https.
A tutti i cookie per cui gli sviluppatori non hanno esplicitato il valore dell’attributo (“None”, “Strict” o “Lax”) viene attribuito il valore “Lax” e sono accettati solo se provengono dallo stesso dominio del sito su cui si sta navigando.
Questo limita molto la condivisione di cookie tra siti e significa che quelli provenienti da siti esterni, utilizzati ad esempio per profilazione, devono essere etichettati e costretti a garantire maggiori standard di sicurezza per poter funzionare su Chrome 80.
Per ovviare a eventuali problemi di login, i cookie senza un attributo “SameSite” specificato potranno essere utilizzati attraverso richiesta POST e avranno un tempo di due minuti per svolgere la funzione prevista.
L’obiettivo del browser di BigG è quello di eliminare gradualmente il supporto ai cookie da terze parti (si parla di un paio di anni per il blocco completo) aumentando i livelli di privacy degli utenti e il controllo sui propri dati.
Vi ricordiamo, alla luce di quanto detto, di accertarvi che il vostro sito abbia:
- una piattaforma aggiornata (cms, plugin, etc.)
- un certificato di sicurezza SSL abilitato
- tutti i contenuti sotto connessione sicura https
- pagine Cookie Policy e Privacy Policy
- segnalazione, banner informativo e blocco dei Cookie in linea con il Regolamento UE 2016/679
Per dubbi o informazioni Contattateci!
