Google Chrome、SameSite cookie強制を一時的に中止 2
ストーリー by hylom
こんなところにも影響が 部門より
こんなところにも影響が 部門より
headless曰く、
Googleは3日、Google ChromeにおけるSameSite cookieの強制を一時的に中止することを発表した(Chromium Blog、9to5Google、Ghacks、Android Police)。
SameSite cookieは他サイトに対するリクエストでのcookie送信を「SameSite」属性により制御する仕組みで、CSRF攻撃を防ぐことが可能になる。2月リリースのChrome 80ではサードパーティーコンテキストで「SameSite=None; Secure」がセットされたcookieのみを許可するセキュリティ強化が追加され、徐々にロールアウトしていた。
ただし、この変更に対応することで一部のサービスでの問題発生が報告されており、新型コロナウイルス感染症(COVID-19)が世界的に困難な状況を生む中、必要なサービス提供が中断されないようにするため一時的なロールバックを決定したとのこと。ロールバックは3日から開始されており、この変更によるユーザーやサイトへの影響はないとみられている。SameSite cookie強制の再開など、今後の計画に関しては「SameSite Updates」ページで報告するとのことだ。
そもそもセンスがない仕様変更 (スコア:1)
・RFC 6265ではSameSite=Noneは定義されておらず、またSameSiteの値が未定義の場合はStrictとみなせと規定されていた。セキュリティ機能であることを考えれば安全側に倒す規定は妥当
・SafariはRFC 6265の規定通りにSameSite属性を実装していた
・このためSameSite=Noneをただつけるだけだと、古い(と言ってもiOS 12を含む)SafariがCookieを食わなくなる問題が発生した
規格通りに実装していたらバカを見るような変更は最悪としか言いようがないんだが、今さら何を言ってもChromeが7割シェアでゴリ押すんだろうなあ
Re: (スコア:0)
> またSameSiteの値が未定義の場合はStrictとみなせと規定されていた
そもそもこれが厳し杉内
値に許可ドメインを指定できて未指定の場合は従来通り、とかだったら順次対応しやすかったのに