Google zal het nieuwe cookiebeleid in Chrome dat vanwege de corona-uitbraak tijdelijk werd uitgeschakeld vanaf 14 juli weer inschakelen. De maatregel werd begin april genomen om ervoor te zorgen dat websites van essentiële diensten, zoals banken, supermarkten, overheden en zorginstellingen, zonder problemen bleven werken.

De maatregel gaat over de manier waarop Chrome met SameSite-cookies omgaat. Websites kunnen zowel first-party cookies voor hun eigen domein plaatsen, alsmede third-party cookies van externe diensten die op de website actief zijn, zoals advertentienetwerken, socialmediaplug-ins en widgets. Ook wanneer een partij meerdere websites heeft en op die websites een cookie gebruikt, zal het cookie nog steeds als third-party worden gezien wanneer het domein niet overeenkomt met de site(s) waarvandaan het cookie wordt benaderd, ook al zijn de sites en cookies van dezelfde partij.

Wanneer een cookie alleen toegankelijk mag zijn voor de first-party hebben ontwikkelaars keuze uit twee instellingen, SameSite=Lax of SameSite=Strict, om externe toegang te voorkomen. Maar weinig ontwikkelaars maken echter gebruik van deze opties, aldus Google. Daardoor zouden first-party cookies zijn blootgesteld aan aanvallen zoals cross-site request forgery. Om websites en gebruikers te beschermen zal er een nieuw "secure-by-default" model worden toegepast, dat ervan uitgaat dat alle cookies tegen externe toegang moeten zijn beschermd, tenzij dit anders is opgegeven.

Ontwikkelaars moeten de nieuwe cookie-instellingen SameSite=None nu gebruiken om aan te geven dat cookies voor meerdere websites toegankelijk zijn. Wanneer deze instelling wordt gebruikt moet er ook het aanvullende "Secure" attribuut worden gebruikt, wat ervoor zorgt dat third-party cookies alleen via https-verbindingen benaderbaar zijn. Google benadrukt dat dit niet alle risico's van third-party toegang oplost, maar wel bescherming tegen netwerkaanvallen biedt.

Met Chrome 80 werden alle cookies die geen opgegeven SameSite-waarde gebruiken als SameSite=Lax cookies behandeld. Alleen cookies met de SameSite=None en Secure-instelling zullen extern toegankelijk zijn. De meeste websites hadden hiervoor al de benodigde aanpassingen doorgevoerd, maar niet iedereen. Om ervoor te zorgen dat belangrijke websites zonder problemen bleven werken besloot Google begin april om de maatregel tijdelijk terug te draaien. Nu meldt het techbedrijf dat het cookiebeleid vanaf 14 juli, dat samenvalt met de lancering van Chrome 84, weer zal worden gehandhaafd.