SameSite-Attribut: Google Chrome drängt auf sichere Cookies
Nachdem Google die Änderungen zu SameSite-Attributen in Chrome pausiert hat, kommt die Bedingung nun doch mit dem nächsten Update.
by Eva-Maria WeißChrome überträgt standardmäßig nur noch Cookies der Seite, auf der sich der Nutzer gerade befindet, also First-Party-Cookies. Cookies von Drittanbietern müssen hingegen explizit als SameSite=None ausgewiesen werden und zudem per Secure auf HTTPS-gesicherte Seiten beschränkt werden, damit Chrome sie überträgt. Google will so das Tracken über mehrere Seiten hinweg transparenter machen, zudem soll es die Einstellungen beim Blockieren von Cookies verbessern beziehungsweise feiner machen.
Angekündigt hatte Google diese Änderung bereits im Februar mit Einführung von Chrome 80. Wegen der Coronakrise wurde sie zunächst zurückgesetzt, um die Stabilität und Erreichbarkeit von Webseiten in einer solchen Zeit nicht zu gefährden. Google ging anscheinend davon aus, dass auch Seiten aus dem Gesundheitsbereich, von Regierungen und Organisationen betroffen gewesen wären. Laut dem Magazin The Verge geht es nun aber doch bald los. Mit dem Start von Chrome 84, der für den 14. Juli geplant ist, soll das SameSite-Cookie-Update kommen.
Mit dem Update sollen Nutzer entscheiden können, ob sie alle Cookies löschen wollen, die Webseiten-übergreifend agieren, dabei aber jene behalten, die für gespeicherte Daten auf einer Seite zuständig sind, also etwa Logins. Webseitenbetreiber müssen entsprechende Anpassungen vornehmen.
Mehr Sicherheit, weniger Cookies
Erst vergangene Woche hatte Google, als Teil neuer Datenschutz- und Sicherheitsfunktionen, angekündigt, die Verwaltung von Cookies in Chrome übersichtlicher zu gestalten. Im Inkognitomodus werden Drittanbieter-Cookies zudem standardmäßig blockiert. Bisher blieben sie bis zum Ende der geheimen Sitzung bestehen. Tabs bekommen zudem ein Augen-Symbol, das zu den Einstellungen führt, in denen einzelne Cookies gesperrt beziehungsweise erlaubt werden können. Die Funktionen verteilt Google gerade nach und nach.
Firefox und Safari blockieren Drittanbieter-Cookies generell. Firefox gewährt Nutzern mit einem Bericht sogar einen Einblick, wie versucht wurde, sie zu tracken. Auch Fingerabdruck-Skripte blockiert der Browser standardmäßig. Safari lässt First-Party-Cookies zu, löscht aber auch diese nach sieben Tagen, wenn sie per Javascript gesetzt wurden und sofern die entsprechende Seite nicht erneut besucht wurde.
(emw)