Blant mange andre mekanismer som benyttes for sikring av web-trafikk gjennom lastbalanserer, s?rges det for at cookies som identifiseres som session cookies (eller p? andre m?ter regnes som sensitive) f?r attributtet HttpOnly satt.
Det som n? endres er en forbedring av logikken som h?ndterer dette. Med denne forbedringen vil vi s?rge for at sikringen bedre dekker n?r flere cookies settes samtidig (alts? i samme respons med flere Set-Cookie headere), samt n?r flere cookies settes i samme header (s?kalt header folding, hvilket er frar?det for cookies). I tillegg vil cookies med prefix ogs? omfattes av logikken. Dette er med andre ord ikke en endring fra tidligere oppf?rsel, men en innstramming som vil s?rge for at gjeldende oppf?rsel vil fungere med flere kombinasjoner av attributter og m?ter ? sette cookies p?, og vil dekke cookies med flere navn enn tidligere.
I samme runde vil ogs? flere direktiv for Permissions-Policy legges til, med restriktive default-verdier, for ? supplere den eksisterende listen. Direktiv som allerede settes av tjenesten vil ikke overskrives, men dersom tjenesten benytter noen av disse APIene uten ? sette direktiv og erkl?re egnet (fortrinnsvis restriktivt) scope i Permissions-Policy, vil tilgang kunne nektes av nettleser.
Direktivene dette gjelder er:
- storage-access
- publickey-credentials-get
- publickey-credentials-create
- identity-credentials-get
- idle-detection
- local-fonts
- otp-credentials
- window-management
- conversion-measurement
Ettersom endringene har kj?rt lenge i test ventes det ikke at dette skal v?re merkbart, men dersom tjenesteeiere opplever negative konsekvenser som f?lge av dette, kan man kontakte www-drift.