Flere relativt ferske eller planlagte sikkerhets- og personvernforbedringer i nettlesere har de siste ukene blitt fjernet igjen eller er blitt utsatt. Årsaken er at nettleserleverandørene ikke vil legge ekstra stein til byrden i en tid hvor mange har det vanskelig nok. For forbedringene kan føre til at enkelte ikke-oppdaterte nettsteder slutter å fungere.
Krypteringssvakheter
Først ute var Mozilla, som den 20. mars kom med en oppdatert utgave av Firefox 74, hvor støtten for krypteringsprotokollene TLS 1.0 og 1.1 (Transport Layer Security) likevel ikke er skrudd av som standard, slik den var i versjonen som kom den 10. mars.
Disse versjonene av TLS har betydelige svakheter og kan gjøre avlytting av trafikken enklere.
Fra og med Firefox 74 ble brukerne opprinnelig vist en feilmelding når brukerne besøkte nettsteder uten støtte for den nyere TLS 1.2-protokollen. Men nå er denne endringen altså reversert inntil videre, for å gi berørte nettsteder mer tid til å få på plass de nødvendige løsningene.
Google-initiativ skal bekjempe nettsvindel
Mozilla har ikke oppgitt noe tidspunkt for når endringen nå skal innføres. Det har derimot Microsoft, som rett før månedsskiftet utsatte planene om å deaktivere støtten for TLS 1.0 og 1.1 i Edge minimum fram til Edge 84, som etter planen skal til komme i juli. Trolig gjelder dette alle Chromium-baserte nettlesere, siden planene er utsatt også i Chrome.
I den EdgeHTML-baserte utgaven av nettleseren, samt Internet Explorer 11, vil støtten for de gamle protokollene først bli deaktivert den 8. september i år.
SameSite
Google har for øvrig også reversert ytterligere en nokså fersk endring i Chrome, knyttet til sikrere håndtering av tredjepartscookies (for abonnenter).
_logo.svg.png){kind=logo}
Siden februar har Google gradvis begynt å håndheve et krav om at en cookie må være utstyrt med Secure-attributtet, samtidig som at SameSite-attributtet har verdien none, dersom cookien skal kunne brukes som en tredjepartscookie. En grundig forklaring på dette kravet finner du på denne siden.
Nå har Google reverserte hele SameSite-kravet, riktignok midlertidig, for å unngå at berørte nettsteder slutter å fungere midt i den verste krisen.
Dette innebærer at leverandører av tredjepartsinnhold som avhenger av slike cookies kan senke skuldrene litt, selv om de ikke ennå har fått på plass de nevne cookie-attributtene.
For andre kan denne perioden være preget av mindre aktivitet enn vanlig, noe som kanskje gir ekstra mulighet til å få gjort alle de tingene man burde ha gjort, men som tidligere bare har blitt skjøvet på.
Ingen av de 25 største nettsidene følger fersk cookie-lov
