Non era una novità: già da tempo Google era al lavoro su un nuovo tipo di approccio nella gestione dei cookie di terze parti nel browser Chrome, per aumentare sicurezza e privacy nella navigazione web.
Nell’ultimo periodo l’attività in questa direzione si è intensificata, nell’ambito del progetto open source Chromium.
Arriva infatti dal blog di Chromium (l’engine open source adottato anche da Microsoft per l’ultima generazione del suo browser Edge) l’annuncio che, con la nuova versione stabile 80 appena rilasciata, e in fase di roll out, Chrome inaugura un nuovo sistema di classificazione dei cookie, la cui impostazione di fondo probabilmente avrà un forte impatto sullo sviluppo e sulla navigazione dei siti web.
In sintesi, il trattamento dei cookie inizierà a essere basato sulla classificazione di fondo tra cookie first-party, cioè quelli provenienti dallo stesso sito che il browser sta visitando, e per questo definiti anche richieste same-site, e cookie third-party, o anche cross-site, che provengono appunto da terze parti e solitamente sono associati a richieste di risorse remote o contenuti embedded che arrivano da domini differenti dal sito che l’utente sta consultando e che viene visualizzato nella barra dell’indirizzo del browser.
Il nuovo approccio nella gestione dei cookie viene definito da Google come secure-by-default, sicuro per impostazione predefinita.
Dal punto di vista tecnico, l’attributo SameSite (definito nel draft RFC6265bis sottoposto all’HTTP Working Group dell’Internet Engineering Task Force, IETF), consente allo sviluppatore o all’amministratore di dichiarare se il cookie deve essere limitato a un contesto first-party, o same-site.
Se si fornisce un servizio che viene utilizzato da altri siti, come ad esempio widget, contenuti embedded, programmi di affiliazione, advertising o sign-in su più siti, bisognerebbe utilizzare esplicitamente SameSite=None.
I cookie definiti con SameSite=None devono specificare anche esplicitamente Secure, che richiede un contesto sicuro. Quindi, spiega il team di Chromium, solo i cookie impostati come SameSite=None; Secure saranno disponibili in contesti third-party, a condizione che siano accessibili da connessioni sicure.
I cookie che non hanno un valore SameSite dichiarato, verranno trattati come cookie SameSite=Lax, che offrono un livello di sicurezza che potremmo descrivere come intermedio.
Dettagli più approfonditi sull’attributo SameSite e su come implementarlo sono disponibili nelle risorse online linkate nel post di presentazione del blog di Chromium e nella guida agli sviluppatori del maggio scorso, data in cui questo nuovo approccio era stato annunciato per la prima volta.
Chrome 80 è stato già rilasciato, mentre l’applicazione del nuovo sistema di classificazione dei cookie, spiega il team di sviluppo, è in partenza con una piccola porzione di utenti e aumenterà gradualmente nel tempo.
