De recente ontwikkelingen omtrent het coronavirus heeft ook zo zijn gevolgen voor cookieland. Google kondigde onlangs aan, in verband met de pandemie, hun SameSite toepassing tijdelijk terug te draaien. Wat houdt deze toepassing precies in en waarom wordt dit uitgesteld?
Begin 2020 introduceerde Google versie 80 van haar Chrome-browser, met een aantal opvallende features die tal van veiligheidsvoordelen en meer transparantie voor de gebruiker moeten opleveren. Met name de wijzigingen binnen het cookie-attribuut SameSite waren opzienbarend. In 2016 werd SameSite voor het eerst gespecificeerd en deze bepaalde grofweg wat er gebeurt wanneer een browser content opvraagt van een andere site, dan de site die op dat moment wordt bezocht. Websites kunnen op deze manier zowel first-party cookies voor hun eigen domein plaatsen, alsmede third-party cookies van externe partijen. Als een cookie enkel toegankelijk mag zijn voor de first- party kunnen ontwikkelaars een keuze maken uit twee instellingen, ‘SameSite=Lax’ of ‘SameSite=Strict’. Als de waarde van een cookie is ingesteld op ‘SameSite=Lax’ worden er geen cookies verzonden, tenzij een gebruiker op een link klikt die hem naar een andere site brengt. Als de waarde van een cookie is ingesteld op ‘SameSite=Strict’ worden er geen cookies verzonden naar de website waarnaar wordt gelinkt. Google stelde dat maar weinig ontwikkelaars gebruik maakten van deze mogelijkheden, waardoor first-party cookies zijn blootgesteld aan bijvoorbeeld cross-site request forgery. De grootste verandering in de nieuwe update van Chrome zorgt ervoor dat alle cookies die geen waarde hebben gekregen, automatisch worden behandeld alsof ze de waarde ‘SameSite=Lax’ hebben. Cookies met cross-domain functionaliteiten, maar die niet de waarde ‘SameSite=None’ hebben kunnen niet meer cross-domain gebruikt worden.
Zoals gezegd introduceerde Google deze feature begin dit jaar, met de intentie om de SameSite toepassing in de loop van 2020 voor elke gebruiker beschikbaar te maken. De uitbraak van het coronavirus heeft er echter voor gezorgd dat Google de feature nu tijdelijk terugdraait. De reden hiervoor is dat veel belangrijke websites van bijvoorbeeld de overheid, banken en sommige vormen van intranet gebruik maken van third-party cookies. Het accepteren van enkel SameSite-cookies kan ervoor zorgen dat bepaalde websites niet, of slechts gedeeltelijk werken. Gezien het belang van goede functionaliteit bij vitale websites heeft Google ervoor gekozen het uitrollen van de feature uit te stellen tot de pandemie onder controle
Onlangs stonden we op deze site al stil bij webbrowsers die steeds striktere regels hanteren wat betreft het plaatsen en tracken van cookies.