SameSite属性の件 のバックアップ(No.6)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• SameSite属性の件 へ行く。
  • 1 (2020-04-08 (水) 13:43:54)
  • 2 (2020-04-08 (水) 15:56:28)
  • 3 (2020-04-09 (木) 07:48:38)
  • 4 (2020-08-06 (木) 09:10:32)
  • 5 (2020-08-06 (木) 20:06:33)
  • 6 (2020-08-21 (金) 10:11:49)
  • 7 (2020-08-28 (金) 09:09:57)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

SameSite?属性とは、

• Cookie関連のHTTPヘッダで、
  • CSRF対策のために実装された。
  • 3rd Party Cookieのクロスサイトでの扱いを変更する属性。
  • Chromeでは、「SameSite?=Lax」に設定される。

• 下記に影響が出るなど、
  • クロスサイトでPOST遷移した場合、Cookieが付与されない。
  • IFRAMEを使用した場合、Cookieが付与されない。

認証界隈でも話題になっている。

詳細 †

これによる影響は、単純に、

• SameSite?属性の値次第で、
• クロスサイトの遷移の中でCookieが送信されなくなる。

と言う事である。

影響の具体例 †

「クロスサイトの遷移の中でCookieが送信されなくなる」ので、

一般的な問題 †

クロスサイトの遷移後、

• 遷移先で未ログイン状態になる（Cookie認証チケット）。
• 遷移先で情報が取得できず、機能が動作しなくなる（Session Cookie）。

※ 例えば、ECサイトのカート情報などが保持できなくなる。

などの問題が発生し得る。

IdPでの問題 †

以下の機能が動作しなくなる可能性がある。

• SAML の HTTP POST Binding
• OAuth2/OIDC の response_mode=form_post

トリガはブラウザの既定値の変更 †

以下のバージョンで、SameSite?属性が導入されている。

• Chrome：version 51
• Firefox：version ？
• Edge：Windows 10 ビルド17672以降

Chrome 78-80以降 †

• Chrome 78-79
  SameSite属性値がLaxの場合、
  「2分間はCookieを送信する」と言う
  （よけい混乱する）独自動作を行う。

• Chrome 80

• SameSite属性の既定値がNoneからLaxに変更された。

  特に、SameSite?属性が未指定の場合、
  SameSite?属性の既定値がNoneからLaxに変更される。

• Secure属性を付けずSameSite?=Noneを指定した場合、
  set-cookie自体が無効になったので、HTTPの場合は、
  HTTPS化して、Secure属性を付与する必要がある。
  

• 新コロ対応
  • 2020/4/3（現地時間）、この仕様を一時的に撤回すると発表した。

• 一方「Edge」などでは、この仕様変更が維持されている。

Firefox ?, Edge 80 †

MozillaのFirefoxやMicrosoftのEdgeブラウザでも、
「SameSite?=Lax」属性がデフォルトで追加される予定

• Firefox ？
• Edge 80（2020/02/10）より試験運用

影響への対応 †

• クロスサイトの画面遷移の方法を変更するか、
• 必要な部位に、SameSite?=Noneを明示する。
  （加えて、HTTPS化してSecure属性を付与する）。

参考 †

• EC事業者にも関係するSameSite?属性！
  カートに入れたはずの商品がない？
  ログインが何回も求められる？
  Chrome 80の仕様変更とその影響・対策（2020年2月3日追記）
  https://www.future-shop.jp/magazine/info-samesite

• SameSite? 属性結局どうすりゃいい? | tech - 氾濫原
  https://lowreal.net/tech/.page/20191102010401/3

• 【Google Chrome】CookieのSameSite?属性などを
  デベロッパーツールで確認する：Google Chrome完全ガイド - ＠IT
  https://www.atmarkit.co.jp/ait/articles/2002/19/news021.html

• Chrome 80で導入されたCookieのSameSite?属性サポートが
  原因でCookieの長さが上限を超え不具合が出るケースが発生 | スラド IT
  https://it.srad.jp/story/20/02/19/181211/

• Google、「Chrome 80」から導入されている
  “SameSite? Cookie”の変更を一時撤回 - 窓の杜
  https://forest.watch.impress.co.jp/docs/news/1245512.html

• SameSite?属性どころか、
  HTTP自体がダメになってた件（Cookie） - OSSコンソーシアム
  https://www.osscons.jp/jov9t04kz-537/

Qiita †

• Chrome 80が密かに呼び寄せる地獄
  ～ SameSite?属性のデフォルト変更を調べてみた
  https://qiita.com/ahera/items/0c8276da6b0bed2b580c

• CookieのSameSite?属性 NoneとLaxの違い
  https://qiita.com/akaaariiiiin/items/b3078b53621c79188f6e

• EC-CUBE の SameSite? cookie 対応まとめ
  https://qiita.com/nanasess/items/bfb965554b5ee36fb0d6

Google, MS †

• Google Developers Japan: 新しい Cookie 設定 SameSite?=None; Secure の準備を始めましょう
  https://developers-jp.googleblog.com/2019/11/cookie-samesitenone-secure.html

• ASP.NET Core での SameSite? cookie の使用 | Microsoft Docs
  https://docs.microsoft.com/ja-jp/aspnet/core/security/samesite

Cookie > 3rd Party Cookie問題 †

---

Tags: :プログラミング, :通信技術, :.NET開発, :.NET Core, :ASP.NET, :ASP.NET Web API

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.023 sec.