Mejora de Chrome de la privacidad mejorando el manejo de cookies
Los ingenieros de Google planean mejorar la privacidad y la seguridad del usuario poniendo una corta vida útil a las cookies entregadas a través de conexiones HTTP.
Google espera que la medida obligue a los desarrolladores y anunciantes de sitios web a enviar cookies a través de HTTPS, lo que "brinda importantes protecciones de confidencialidad contra los ataques de control generalizado".
Enviar cookies a través de texto plano HTTP se considera un riesgo de seguridad y privacidad del usuario, ya que estas cookies podrían ser interceptadas e incluso modificadas por un atacante.
Prohibir el envío de cookies a través de HTTP todavía no es una opción, por lo que los ingenieros de Chrome esperan que limitando la vida útil de una cookie eviten que grandes cantidades de datos de usuarios se acumulen en las cookies o que los anunciantes utilicen la misma cookie para rastrear usuarios en diferentes sitios.
El límite de la vida útil de las cookies HTTP está programado para Chrome 70
Los ingenieros de Chrome desean limitar la duración de la cookie HTTP a un valor inicial máximo de un año, que luego planean reducir lentamente a unos pocos días.
El límite de las cookies HTTP está actualmente programado para Chrome 70, cuyo lanzamiento está programado para final de octubre de 2018.
Los datos de telemetría recopilados por el equipo de Chrome sugieren que una gran cantidad de cookies transmitidas por HTTP tienen una vida útil superior a un año.
La limitación de la duración de la cookie HTTP no afectará visiblemente a los sitios web
El ingeniero de Google Mike West no cree que los sitios web y las aplicaciones web se rompan cuando Chrome comienza a obligar a que las cookies HTTP expiren cada vez más temprano.
"Las cookies son algo frágiles y pueden ser desalojadas en cualquier momento por razones fuera del control de los desarrolladores, por lo que es poco probable que haya un alto costo de compatibilidad", dice West. "No es probable que los usuarios vean ruptura".
"Por otro lado, es probable que los servicios que usan cookies no seguras de larga duración sean infelices, lo cual es bueno. Existen distintos riesgos de enviar cookies a través de canales no seguros, especialmente cuando se hace a escala como parte de una red publicitaria.", Agrega West.
Este movimiento no detendrá el rastreo del usuario en Internet, pero lo hará más seguro y evitará que terceras partes no autorizadas accedan a estos datos observando activa o pasivamente el flujo de cookies a través del tráfico de una red.
Mozilla experimentó con la desaprobación de las cookies HTTP al agregar un bandera especial "network.cookie.lifetime.httpSessionOnly"
en Firefox 49, pero la bandera nunca llegó a la versión estable de Firefox.