Vi har allerede disse sikringsmekanismene på plass, blant mange andre:
- Cookies som serves over HTTPS (i praksis alt) får attributtet Secure satt
- Cookies som mangler attributtet SameSite får dette satt, med verdien Lax
Det som nå endres er en forbedring av logikken som håndterer dette. Med denne forbedringen vil vi sørge for at sikringen bedre dekker når flere cookies settes samtidig, samt når flere cookies settes i samme header (såkalt header folding, hvilket er frarådet for cookies). Dette er med andre ord ikke en endring fra tidligere oppførsel, men en innstramming som vil sørge for at gjeldende oppførsel vil fungere med flere kombinasjoner av attributter og måter å sette cookies på.
Det ventes ikke at dette skal være en merkbar endring, men dersom tjenesteeiere opplever negative konsekvenser som følge av dette, kan man kontakte www-drift.