Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Zuvor wurde in diesem Artikel auf Die Betaversion 79 von Google Chrome verwiesen. Google soll ein Cookieverhalten in Chrome Stable, Version 80, freigeben. Chrome hat seine Rollout-Zeitachse aktualisiert, um anzugeben, dass diese Änderung ab der Woche vom 17. Februar in Chrome 80 eingeführt wird. Chrome 80 wird am 4. Februar ausgeliefert und dieses Feature ist standardmäßig deaktiviert. Die Funktion wird ab dem 17. Februar nach einem gestuften Zeitplan freigeschaltet.
Zusammenfassung
Die Stable-Version des Google Chrome-Webbrowsers (Build 80, geplant für die Veröffentlichung am 4. Februar 2020) wird eine Änderung des Standardcookieverhaltens ab der Woche vom 17. Februar bereitstellen. Obwohl die Änderung darauf abzielt, böswillige Cookie-Tracking zu verhindern und Webanwendungen zu schützen, wird erwartet, dass sie auch viele Anwendungen und Dienste betreffen, die auf offenen Standards basieren. Dazu gehören Microsoft-Clouddienste.
Unternehmenskunden werden ermutigt, sicherzustellen, dass sie auf die Änderung vorbereitet sind und bereit sind, Gegenmaßnahmen zu implementieren, indem sie ihre Anwendungen testen (unabhängig davon, ob sie kundenspezifisch entwickelt oder erworben wurden). Weitere Informationen finden Sie im Abschnitt "Empfehlungen".
Microsoft verpflichtet sich, diese Änderung des Verhaltens in seinen Produkten und Diensten vor dem Veröffentlichungsdatum von Chrome 80 zu beheben. In diesem Artikel werden die Anleitungen von Microsoft und Google zum Installieren der verschiedenen Updates erläutert, die für Produkte und Bibliotheken erforderlich sind, sowie die Anleitungen für Tests und Vorbereitungen. Es ist jedoch ebenso wichtig, dass Sie Ihre eigenen Anwendungen anhand dieser Änderung des Chrome-Verhaltens testen und Ihre eigenen Websites und Webanwendungen bei Bedarf vorbereiten.
Auswirkungen auf Kundenanwendungen
Hinweis
Wenn Sie keine Berechtigungen überprüfen können, wenn Sie versuchen, eine Microsoft Learn-Sandbox zu aktivieren, löschen Sie Browserdaten indem Sie zu chrome://settings/clearBrowserData.
Alle Microsoft Cloud-Dienste werden aktualisiert, um die neuen Anforderungen von Chrome zu erfüllen, aber einige andere Anwendungen sind möglicherweise noch betroffen. Überprüfen Sie den Abschnitt "Empfehlungen" für einige Serverprodukte, die von Kunden aktualisiert werden müssen.
Sie sollten alle Anwendungen gründlich testen, indem Sie Chrome Beta Version 80 verwenden, um die Auswirkung dieser Änderung zu überprüfen. Wir erwarten, dass sich Probleme ähnlich wie die in diesem Artikel beschriebenen Probleme auf Ihre Anwendungen auswirken. Dies gilt insbesondere für Anwendungen, die jede Webplattform oder Technologie verwenden, die auf der domänenübergreifenden Cookiefreigabe basiert, z. B. Apps, die in andere Apps eingebettet sind.
Chrome-Versionen 78 und 79 Betas haben eine Verbesserung, die die SameSite:Lax Attributerzwingung für zwei Minuten verzögert. Die Verwendung dieser Versionen zum Testen kann jedoch andere Probleme maskieren. Daher empfehlen wir, die Version 80 von Chrome zu testen, indem bestimmte Flags aktiviert werden. Dies kann Ihnen zumindest helfen, den Effekt zu ermitteln, damit Sie Ihren besten Plan ermitteln können. Weitere Informationen finden Sie im Abschnitt "Testrichtlinien".
Der Microsoft Edge-Browser auf Chromium (Version 80) wird von diesen SameSite-Änderungen nicht betroffen sein. Sie können die Edge-Dokumentation lesen, um den aktuellen Plan zur Anpassung dieser Änderung nachzulesen.
Recommendations
Microsoft-Kunden, die Active Directory-Verbunddienste (AD FS) oder Webanwendungsproxy verwenden, müssen eines der folgenden Windows Server-Updates bereitstellen:
| Produkt | KB-Artikel | Erscheinungsdatum |
|---|---|---|
| Windows Server 2019 | KB-4534273 | 14. Januar 2020 |
| Windows Server 2016 | KB-4534271 | 14. Januar 2020 |
| Windows Server 2012 R2 | KB-4534309 | 14. Januar 2020 |
Die folgenden Microsoft-Server- oder Clientprodukte müssen ebenfalls aktualisiert werden. Die Updates werden diesem Artikel hinzugefügt, wenn sie verfügbar sind. Es wird empfohlen, diesen Artikel regelmäßig für die neuesten Updates zu lesen.
| Produkt | KB-Artikel | Erscheinungsdatum |
|---|---|---|
| Exchange Server 2019 | KB-4537677 | 17. März 2020 |
| Exchange Server 2016 | KB-4537678 | 17. März 2020 |
| Project Server 2013 | KB-4484360 | 12. Mai 2020 |
| Project Server 2010 | KB-4484388 | 12. Mai 2020 |
| SharePoint Foundation 2013 |
KB-4484364 (Kumulatives Update: KB 4484358)1 |
12. Mai 2020 |
| SharePoint Foundation 2010 | KB-4484386 | 27. April 2020 |
| SharePoint Server 2019 | KB-4484259 | 11. Februar 2020 |
| SharePoint Server 2016 | KB-4484272 | 10. März 2020 |
| SharePoint Server 2013 | KB-4484362 | 12. Mai 2020 |
| SharePoint Server 2010 | KB-4484389 | 12. Mai 2020 |
| Skype for Business Server 2019 |
KB-4549672 (Kumulatives Update: KB 4582629)1 |
Kumulatives Update vom September 2020 (CU 4) |
| Skype for Business Server 2015 |
KB-4549672 (Kumulatives Update: KB 4558387)1 |
Kumulatives Update vom Mai 2020 (CU 11) |
Hinweis
1 Dieses kumulative Update enthält den Fix für das SameSite-Cookie-Problem sowie zusätzliche Korrekturen, die nicht mit dem SameSite-Cookie-Problem zusammenhängen. Microsoft empfiehlt, das kumulative Update anstelle des einzelnen Updates zu installieren, um sicherzustellen, dass Ihre Umgebung alle Korrekturen zum Zeitpunkt der Veröffentlichung des kumulativen Updates verfügbar hat.
Sie müssen Ihre Anwendungen für alle folgenden Szenarien testen und den geeigneten Plan basierend auf dem Ergebnis der Tests ermitteln:
- Ihre Anwendung ist von den SameSite-Änderungen nicht betroffen. In diesem Fall ist keine Aktion zu ergreifen.
- Ihre Anwendung ist betroffen, aber Ihre Softwareentwickler können die Änderung rechtzeitig vornehmen, um die SameSite: None-Cookie-Einstellungen zu verwenden. In diesem Fall sollten Sie Ihre Anwendung ändern, indem Sie den Entwicklerleitfaden im Abschnitt "Testrichtlinien" folgen.
- Ihre Anwendung ist betroffen, kann aber nicht rechtzeitig geändert werden. Für interne Websites kann die Anwendung mithilfe der Einstellung LegacySameSiteCookieBehaviorEnabledForDomainList vom SameSite-Erzwingungsverhalten in Chrome ausgeschlossen werden.
Wenn Unternehmenskunden lernen, dass die meisten ihrer Apps betroffen sind oder wenn sie nicht genügend Zeit haben, ihre Apps zu testen, bevor die graduierte Veröffentlichung des Features ab dem 18. Februar abgeschlossen ist, wird empfohlen, das SameSite-Verhalten auf Computern zu deaktivieren, die sie steuern. Sie können dies mithilfe von Gruppenrichtlinien, System Center Configuration Manager oder Microsoft Intune (oder einer beliebigen Software für die Verwaltung mobiler Geräte) tun, bis sie überprüfen können, ob das neue Verhalten grundlegende Szenarien in ihren Apps nicht unterbricht.
Google hat die folgenden Unternehmenssteuerelemente veröffentlicht, die festgelegt werden können, um das SameSite-Erzwingungsverhalten in Chrome zu deaktivieren:
- LegacySameSiteCookieBehaviorEnabled, das diese Änderung aktiviert oder deaktiviert.
- LegacySameSiteCookieBehaviorEnabledForDomainList, mit dem Chrome diese Richtlinie für bestimmte Domänen deaktivieren kann.
Für Unternehmenskunden, die ihre Anwendungen auf .NET Framework entwickeln, empfehlen wir, Bibliotheken zu aktualisieren und das SameSite-Verhalten absichtlich festzulegen, um unvorhersehbare Ergebnisse zu vermeiden, die durch die Änderung des Cookieverhaltens verursacht werden. Lesen Sie dazu die Anleitungen im folgenden Microsoft ASP.NET Blogartikel:
Bevorstehende Änderungen an SameSite-Cookies in ASP.NET und ASP.NET Core
Weitere Informationen und Entwicklerhinweise zu diesem Problem finden Sie im folgenden Google Chromium-Blogartikel:
Entwickler: Machen Sie sich bereit für neue sichere Cookie-Einstellungen mit SameSite=None
Kunden, die betroffene Websites haben, die sich auf Verbraucher oder Benutzer auswirken, die nicht unter ihre Unternehmensrichtlinien fallen, müssen diese Benutzer anweisen, einen anderen Browser (Edge, Firefox, Internet Explorer) zu verwenden oder diese Benutzer durchzugehen, wie sie die Einstellungen in Chrome deaktivieren (wie im nächsten Abschnitt gezeigt), während sie ihre Anwendungen beheben.
Testrichtlinien
Google hat diese Anleitung für Entwickler veröffentlicht, um sich auf die SameSite-Änderungen vorzubereiten. Darüber hinaus wird empfohlen, Ihre Websites und Apps mithilfe des folgenden Ansatzes zu testen.
Verwenden Sie Chrome Beta Version 80, um die Szenarien zu testen:
Chrome Beta Version 80 herunterladen:
- Für Windows 64-Bit: Betakanal für Windows (64-Bit)
- Für Windows 32-Bit: Betakanal für Windows (32-Bit)
Starten Sie Chrome mit der folgenden zusätzlichen Befehlszeilenkennzeichnung:
--enable-features=SameSiteDefaultChecksMethodRigorouslyAktivieren Sie die SameSite-Flags. Geben Sie dazu chrome://flags in die Adressleiste ein, suchen Sie nach SameSite, und wählen Sie dann "Aktiviert " für die folgenden Optionen aus.
Mehr Informationen
Die Webcommunity arbeitet an einer Lösung, um die missbräuchliche Verwendung von Tracking-Cookies und websiteübergreifende Fälschungen über einen Standard zu beheben, der als SameSite bezeichnet wird.
Das Chrome-Team hatte Pläne angekündigt , eine Änderung des Standardverhaltens der SameSite-Funktionalität ab einer Version von Chrome Version 78 Beta am 18. Oktober 2019 bereitzustellen. Dieses Rollout wird am 4. Februar 2020 auf die Version 80 von Chrome verschoben. Diese Änderung trägt zur Verbesserung der Websicherheit bei. Sie bricht jedoch auch Authentifizierungsflüsse auf, die auf dem OpenID Connect-Standard basieren. Daher funktionieren bewährte Authentifizierungsmuster nicht.
Überprüfen der Chrome-Version
Wenn Sie vermuten, dass Ihre Benutzer eine Chrome-Version 76 oder eine höhere Version verwenden, die "SameSite" aktiviert ist, können Sie die Versionsnummer überprüfen, indem Sie zum chrome://settings/help Symbol "Chrome-Einstellungen" navigieren oder das Symbol "Chrome-Einstellungen" auswählen und dann "Hilfe>zu Google Chrome" auswählen.
Navigieren Sie bei den Versionen 77-79 von Chrome zu chrome://flags, um zu sehen, ob die Flags aktiv sind. Die Standardeinstellung wird ab Version 80 von Chrome schrittweise geändert.
Haftungsausschluss für Informationen Dritter
Die in diesem Artikel erläuterten Produkte von Drittanbietern werden von Unternehmen hergestellt, die unabhängig von Microsoft sind. Microsoft übernimmt keine Garantie, weder ausdrücklich noch implizit, bezüglich der Leistung oder Zuverlässigkeit dieser Produkte.
Haftungsausschluss für Drittanbieterkontakte
Microsoft stellt Kontaktinformationen von Drittanbietern zur Verfügung, um Ihnen bei der Suche nach technischem Support zu helfen. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Microsoft übernimmt keine Garantie für die Richtigkeit dieser Kontaktinformationen von Drittanbietern.