SameSite属性の件のバックアップ差分(No.2)

バックアップ一覧
現在との差分を表示
ソースを表示
バックアップを表示
SameSite属性の件へ行く。
- 1 (2020-04-08 (水) 13:43:54)
- 2 (2020-04-08 (水) 15:56:28)
- 3 (2020-04-09 (木) 07:48:38)
- 4 (2020-08-06 (木) 09:10:32)
- 5 (2020-08-06 (木) 20:06:33)
- 6 (2020-08-21 (金) 10:11:49)
- 7 (2020-08-28 (金) 09:09:57)

追加された行はこの色です。
削除された行はこの色です。

「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>クロス ドメイン接続]]
-[[戻る>HTTPヘッダ]]

* 目次 [#w6c5a9e5]
#contents

*概要 [#qf3a1e80]
-[[SameSite属性とは、Cookie関連のHTTPヘッダ>HTTPヘッダ#f30b7957]]で、
--[[CSRF対策>CSRF(XSRF)対策の実装方針]]のために実装された。
--サードパーティーのクロスサイトCookieの扱いを変更する属性。

-[[SAML]] の [[HTTP POST Binding>SAML Bindings#n7409552]]に影響が出るなど、[[認証>クレームベース認証]]界隈でも話題になっている。

*詳細 [#se1e314a]
これによる影響は、単純に、

-SameSite属性の値次第で、
-クロスサイトの遷移の中でCookieが送信されなくなる。

と言う事である。

**影響の具体例 [#d246fec3]
「クロスサイトの遷移の中でCookieが送信されなくなる」ので、

-ログイン状態が保持できず、サイト来訪の度にログインが必要になる。
-ECサイトのカート情報など、Cookieに保存した情報が保持できなくなる。

などの問題が発生し得る。

**トリガはブラウザの既定値の変更 [#d63a3654]
以下のバージョンで、SameSite属性が導入されている。
-Chrome：version 51
-Firefox：version ？
-Edge：Windows 10 ビルド17672以降

***Chrome 78-80以降 [#ub10550c]
-Chrome 78-79~
[[SameSite属性値がLax>HTTPヘッダ#f30b7957]]の場合、~
「2分間はCookieを送信する」と言う~
（よけい混乱する）独自動作を行う。

-Chrome 80

--[[SameSite属性の既定値がNoneからLax>HTTPヘッダ#f30b7957]]に変更された。
>特に、SameSite属性が未指定の場合、~
SameSite属性の既定値がNoneからLaxに変更される。

--新コロ対応
---2020/4/3（現地時間）、この仕様を一時的に撤回すると発表した。
---一方「[[Edge>#pa724289]]」などでは、この仕様変更が維持されている。

***Firefox ?, Edge 80 [#pa724289]
MozillaのFirefoxやMicrosoftのEdgeブラウザでも、~
「SameSite=Lax」属性がデフォルトで追加される予定

-Firefox ？
-Edge 80（2020/02/10）より試験運用

**影響への対応 [#x4ec40e6]
必要な部位に、SameSite=Noneを明示する。

*参考 [#c96a2566]
-EC事業者にも関係するSameSite属性！~
カートに入れたはずの商品がない？~
ログインが何回も求められる？~
Chrome 80の仕様変更とその影響・対策（2020年2月3日追記）~
https://www.future-shop.jp/magazine/info-samesite

-SameSite 属性結局どうすりゃいい? | tech - 氾濫原~
https://lowreal.net/tech/.page/20191102010401/3

-【Google Chrome】CookieのSameSite属性などを~
デベロッパーツールで確認する：Google Chrome完全ガイド - ＠IT~
https://www.atmarkit.co.jp/ait/articles/2002/19/news021.html

-Chrome 80で導入されたCookieのSameSite属性サポートが~
原因でCookieの長さが上限を超え不具合が出るケースが発生 | スラド IT~
https://it.srad.jp/story/20/02/19/181211/

-Google、「Chrome 80」から導入されている~
“SameSite Cookie”の変更を一時撤回 - 窓の杜~
https://forest.watch.impress.co.jp/docs/news/1245512.html

**Qiita [#b5a77002]
-Chrome 80が密かに呼び寄せる地獄~
～ SameSite属性のデフォルト変更を調べてみた~
https://qiita.com/ahera/items/0c8276da6b0bed2b580c

-CookieのSameSite属性 NoneとLaxの違い~
https://qiita.com/akaaariiiiin/items/b3078b53621c79188f6e

-EC-CUBE の SameSite cookie 対応まとめ~
https://qiita.com/nanasess/items/bfb965554b5ee36fb0d6

**Google, MS [#i9b64ac8]
-Google Developers Japan: 新しい Cookie 設定 SameSite=None; Secure の準備を始めましょう~
https://developers-jp.googleblog.com/2019/11/cookie-samesitenone-secure.html

-ASP.NET Core での SameSite cookie の使用 | Microsoft Docs~
https://docs.microsoft.com/ja-jp/aspnet/core/security/samesite

----
Tags: [[:プログラミング]], [[:通信技術]], [[:.NET開発]], [[:.NET Core]], [[:ASP.NET]], [[:ASP.NET Web API]]

SameSite属性の件 のバックアップ差分(No.2)