パスワードを忘れた? アカウント作成
14155184 story
Chrome

Google Chrome、SameSite cookie強制を一時的に中止 2

ストーリー by hylom
こんなところにも影響が 部門より

headless曰く、

Googleは3日、Google ChromeにおけるSameSite cookieの強制を一時的に中止することを発表した(Chromium Blog9to5GoogleGhacksAndroid Police)。

SameSite cookieは他サイトに対するリクエストでのcookie送信を「SameSite」属性により制御する仕組みで、CSRF攻撃を防ぐことが可能になる。2月リリースのChrome 80ではサードパーティーコンテキストで「SameSite=None; Secure」がセットされたcookieのみを許可するセキュリティ強化が追加され、徐々にロールアウトしていた。

ただし、この変更に対応することで一部のサービスでの問題発生が報告されており、新型コロナウイルス感染症(COVID-19)が世界的に困難な状況を生む中、必要なサービス提供が中断されないようにするため一時的なロールバックを決定したとのこと。ロールバックは3日から開始されており、この変更によるユーザーやサイトへの影響はないとみられている。SameSite cookie強制の再開など、今後の計画に関しては「SameSite Updates」ページで報告するとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2020年04月07日 19時02分 (#3793184)

    ・RFC 6265ではSameSite=Noneは定義されておらず、またSameSiteの値が未定義の場合はStrictとみなせと規定されていた。セキュリティ機能であることを考えれば安全側に倒す規定は妥当
    ・SafariはRFC 6265の規定通りにSameSite属性を実装していた
    ・このためSameSite=Noneをただつけるだけだと、古い(と言ってもiOS 12を含む)SafariがCookieを食わなくなる問題が発生した

    規格通りに実装していたらバカを見るような変更は最悪としか言いようがないんだが、今さら何を言ってもChromeが7割シェアでゴリ押すんだろうなあ

    • by Anonymous Coward

      > またSameSiteの値が未定義の場合はStrictとみなせと規定されていた
      そもそもこれが厳し杉内
      値に許可ドメインを指定できて未指定の場合は従来通り、とかだったら順次対応しやすかったのに

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...