2852 Letture
Chrome 80 modifica la gestione dei cookie e delle pagine HTTPS con contenuti misti

Chrome 80 modifica la gestione dei cookie e delle pagine HTTPS con contenuti misti

Il browser di Google diventa più severo per ciò che riguarda la gestione dei cookie di terze parti e blocca automaticamente contenuti audio e video erogati in forma non cifrata da pagine HTTPS (nel caso in cui non fosse disponibile una versione erogata in modo sicuro).

Google ha avviato la distribuzione di Chrome 80, ultima versione del browser web che oltre a integrare le correzioni per 56 vulnerabilità di sicurezza, introduce due nuove caratteristiche degne di nota.

La novità di maggior rilievo è senza dubbio la verifica puntuale dell'attributo SameSite utilizzato per descrivere ciascun cookie caricato da ogni singola pagina web. Ne avevamo parlato nell'articolo Google dichiara guerra ai cookie condivisi tra più siti web e adesso le modifiche entrano ufficialmente in vigore.

Con Chrome 80 e con le successive versioni del browser di Google, verranno sempre normalmente creati e gestiti, per impostazione predefinita, i cookie di prima parte ossia quelli appartenenti allo stesso dominio cui si riferisce la pagina web in corso di visita.

Spetta invece agli sviluppatori descrivere esplicitamente, ricorrendo all'attributo SameSite, i cookie di terza parte generalmente utilizzati in configurazioni cross-site. Indicando i cookie di terza parte con l'attributo SameSite=None; Secure, essi verranno caricati ma soltanto usando una connessione HTTPS.


La nuova versione del browser di Google inizia la "stretta" sui cosiddetti mixed content ovvero sulle pagine HTTPS che contengono riferimenti, direttamente nel corpo della pagina (non sotto forma, ad esempio, di link) a risorse erogate via HTTP, quindi senza l'applicazione di alcuna forma di cifratura.
Nel caso di contenuti audio e video embedded, Chrome 80 proverà ad aggiornare automaticamente gli URL a HTTPS, ove possibile. Se la versione HTTPS dello stesso contenuto al quale viene fatto riferimento con un URL HTTP non fosse disponibile, Chrome 80 ne bloccherà automaticamente la visualizzazione.


Al momento, le immagini HTTP inserite all'interno di pagine HTTPS continueranno ad essere mostrate ma nella barra degli indirizzi apparirà l'indicazione Non sicuro.

Aggiornare Chrome all'ultima versione (così come qualunque altro browser) è fondamentale anche per proteggersi dalle più recenti vulnerabilità di sicurezza. Nell'articolo Aggiornamento Chrome: perché effettuarlo e cosa significano le icone abbiamo visto che il browser di Google rappresenta con icone di differente colorazione la necessità più o meno pressante di adeguare Chrome alla release più recente.

Chrome 80 modifica la gestione dei cookie e delle pagine HTTPS con contenuti misti