Soeben hat Google die neueste Version 80 seines Chrome-Browsers veröffentlicht. Damit verwirklichen die Entwickler des Browsers unter anderem lange angekündigte Änderungen beim Umgang mit Cookies .
Der Umgang mit SameSite-Cookies
Mit Chrome 80 werden alle Cookies, die das Same-Site-Attribut nicht verwenden, so behandelt, als setzten sei das Attribut „SameSite=Lax“ gesetzt. In dem neuen Browser wird der externe Zugriff auf Cookies von Dritten nur noch dann gestattet, wenn sie explizit als „SameSite=None“ deklariert sind. Auch das Attribut „Secure“ muss dabei gesetzt werden, das den Zugriff via HTTPS erzwingt. Dadurch werden alle Cookies ohne das SameSite-Attribut auf First-Level-Domains beschränkt.
Der Umgang mit Mixed Content
Mit Version 80 von Googles Chrome-Browser setzen die Entwickler außerdem weitere Änderungen um, mit denen HTTPS-Mixed-Content abgeschafft werden soll. Auf längere Sicht sollen dafür alle HTTP-Ressourcen vollautomatisch auf HTTPS umgestellt werden.
Das macht der Browser schon jetzt so weit wie möglich mit Audio- und Videocontent. Kann der aber dann nicht geladen werden, bleibt es weiter bei HTTP.
Das Laden von Bildern über eine HTTP-Verbindung auf einer HTTPS-Domain unterstützt der Browser weiterhin. Dabei wird die Internetseite dann allerdings weiterhin als nicht sicher angezeigt. Damit schickt Google eine klare Botschaft an die Seitenbetreiber, endlich ihre Seiten auf HTTPS umzustellen.
Wie man Mixed Content finden und beseitigen kann, zeigt ein Artikel im Webwork-Magazin.
Das Ende von FTP in Chrome
Mit der Veröffentlichung von Chrome 80 beenden die Entwickler die Unterstützung für FTP. FTP werde in dem Browser so wenig genutzt, dass es sich nicht mehr lohne, den Client weiter zu pflegen.
Noch kann der standardmäßig für alle Nutzer mit Chrome 80 deaktivierte FTP-Support über chrome://flags/#enable-ftp reaktiviert werden. Ganz aus dem Browser verschwinden soll FTP mit der Chrome-Version 82 im April.
Wie immer haben die Entwickler auch in Chrome 80 mehrere Sicherheitslücken geschlossen, die Googles eigenes Sicherheitsteam Project Zero und das Edge-Team von Microsoft gefunden haben.