Efecto en los sitios web de los clientes y los servicios y productos de Microsoft en Chrome versión 80 o posterior
Nota:
Anteriormente, este artículo hacía referencia a la versión 79 de Google Chrome Beta. Google está programado para lanzar un comportamiento de cookies en Chrome Stable versión 80. Chrome ha actualizado su cronograma de implementación para indicar que este cambio se implementará en Chrome 80 a partir de la semana del 17 de febrero. Chrome 80 saldrá el 4 de febrero y tendrá esta función deshabilitada de forma predeterminada. La función se habilitará de forma gradual a partir del 17 de febrero.
Resumen
La versión Stable del navegador web Google Chrome (compilación 80, programada para su lanzamiento el 4 de febrero de 2020) implementará un cambio en el comportamiento predeterminado de las cookies a partir de la semana del 17 de febrero. Aunque el cambio está destinado a desalentar el seguimiento de cookies maliciosas y proteger las aplicaciones web, también se espera que afecte a muchas aplicaciones y servicios que se basan en estándares abiertos. Esto incluye los servicios en la nube de Microsoft.
Se recomienda a los clientes empresariales que se aseguren de estar preparados para el cambio y para implementar mitigaciones probando sus aplicaciones (ya sean desarrolladas a medida o compradas). Para obtener más información al respecto, consulte la sección "Recomendaciones".
Microsoft se compromete a abordar este cambio de comportamiento en sus productos y servicios antes de la fecha de lanzamiento de Chrome 80. Este artículo analiza la guía de Microsoft y Google para instalar las diversas actualizaciones que se requieren para productos y bibliotecas, así como para pruebas y preparación. Sin embargo, es igualmente importante que pruebe sus propias aplicaciones frente a este cambio en el comportamiento de Chrome y prepare sus propios sitios web y aplicaciones web según sea necesario.
Efecto en las aplicaciones de los clientes
Nota:
Si no puede revisar los permisos cuando intenta activar una zona de pruebas de Microsoft Learn, elimine los datos de navegación en chrome://settings/clearBrowserData.
Todos los servicios de Microsoft Cloud se actualizan para cumplir con los nuevos requisitos establecidos por Chrome, pero algunas otras aplicaciones aún pueden verse afectadas. Compruebe la sección "Recomendaciones", donde encontrará algunos productos de servidor que los clientes deberán actualizar.
Debe probar a fondo todas las aplicaciones utilizando Chrome Beta versión 80 para verificar el efecto de este cambio. Esperamos que problemas similares a los que se describen en este artículo afecten a sus aplicaciones. Esto es especialmente cierto para las aplicaciones que utilizan cualquier plataforma web o tecnología que se basa en el uso compartido de cookies entre dominios, como las aplicaciones integradas en otras aplicaciones.
Las versiones beta 78 y 79 de Chrome tienen una mejora que retrasa la SameSite:Laxaplicación de atributos durante dos minutos. Sin embargo, el uso de estas versiones para realizar pruebas puede enmascarar otros problemas. Por lo tanto, le recomendamos que pruebe con la versión 80 de Chrome, habilitando indicadores específicos. Hacer esto puede, al menos, ayudarlo a descubrir el efecto para que pueda determinar el mejor plan. Para obtener más información al respecto, consulte la sección "Pautas para pruebas".
El navegador Microsoft Edge en Chromium (versión 80) no se verá afectado por estos cambios de SameSite. Puede leer la documentación de Edge, donde verá el plan actual para adaptar este cambio.
Recomendaciones
Los clientes de Microsoft que usan los servicios de federación de Active Directory (AD FS) o el proxy de aplicación web deben implementar una de las siguientes actualizaciones de Windows Server:
| Producto | Artículo de KB | Fecha de lanzamiento |
|---|---|---|
| Windows Server 2019 | KB 4534273 | martes, 14 de enero de 2020 |
| Windows Server 2016 | KB 4534271 | martes, 14 de enero de 2020 |
| Windows Server 2012 R2 | KB 4534309 | martes, 14 de enero de 2020 |
Los siguientes productos de cliente o servidor de Microsoft también deben actualizarse. Las actualizaciones se añadirán a este artículo cuando estén disponibles. Le recomendamos que vuelva a visitar este artículo con regularidad para enterarse de las últimas actualizaciones.
| Producto | Artículo de KB | Fecha de lanzamiento |
|---|---|---|
| Exchange Server 2019 | KB 4537677 | martes, 17 de marzo de 2020 |
| Exchange Server 2016 | KB 4537678 | martes, 17 de marzo de 2020 |
| Project Server 2013 | KB 4484360 | martes, 12 de mayo de 2020 |
| Project Server 2010 | KB 4484388 | martes, 12 de mayo de 2020 |
| SharePoint Foundation 2013 |
KB 4484364 (Actualización acumulativa: KB 4484358)1 |
martes, 12 de mayo de 2020 |
| SharePoint Foundation 2010 | KB 4484386 | lunes, 27 de abril de 2020 |
| SharePoint Server 2019 | KB 4484259 | martes, 11 de febrero de 2020 |
| SharePoint Server 2016 | KB 4484272 | martes, 10 de marzo de 2020 |
| SharePoint Server 2013 | KB 4484362 | martes, 12 de mayo de 2020 |
| SharePoint Server 2010 | KB 4484389 | martes, 12 de mayo de 2020 |
| Skype Empresarial Server 2019 |
KB 4549672 (Actualización acumulativa: KB 4582629)1 |
Actualización acumulativa de septiembre de 2020 (CU 4) |
| Skype Empresarial Server 2015 |
KB 4549672 (Actualización acumulativa: KB 4558387)1 |
Actualización acumulativa de mayo de 2020 (CU 11) |
Nota:
1 Esta actualización acumulativa contiene la solución para el problema de las cookies de SameSite, además de soluciones adicionales no relacionadas con este problema. Microsoft recomienda instalar la actualización acumulativa en lugar de la actualización individual para garantizar que su entorno tenga todas las correcciones disponibles en el momento en que se lanzó la actualización acumulativa.
Debe probar sus aplicaciones para todos los siguientes escenarios y determinar el plan apropiado en función del resultado de las pruebas:
- Su aplicación no se ve afectada por los cambios de SameSite. En este caso, no es necesario realizar ninguna acción.
- Su aplicación se ve afectada, pero los desarrolladores de software pueden hacer el cambio a tiempo para usar la configuración de cookies SameSite:None. En este caso, debe cambiar su aplicación siguiendo las instrucciones para desarrolladores de la sección "Pautas para pruebas".
- Su aplicación se ve afectada, pero no se puede cambiar a tiempo. Para los sitios internos, la aplicación se puede excluir del comportamiento de cumplimiento de SameSite en Chrome mediante el uso de la configuración LegacySameSiteCookieBehaviorEnabledForDomainList.
Si los clientes empresariales se enteran de que la mayoría de sus aplicaciones se ven afectadas, o si no tienen tiempo suficiente para probar sus aplicaciones antes del lanzamiento gradual de la función a partir del 18 de febrero, se les anima a deshabilitar el comportamiento de SameSite en los ordenadores que controlan. Pueden hacer esto mediante la directiva de grupo, System Center Configuration Manager o Microsoft Intune (o cualquier software de administración de dispositivos móviles) hasta que puedan verificar que el nuevo comportamiento no interrumpe los escenarios básicos en sus aplicaciones.
Google ha lanzado los siguientes controles empresariales, que se pueden configurar para deshabilitar el comportamiento de cumplimiento de SameSite en Chrome:
- LegacySameSiteCookieBehaviorEnabled, que habilita o deshabilita este cambio.
- LegacySameSiteCookieBehaviorEnabledForDomainList, que permite que Chrome deshabilite esta política en dominios específicos.
Para los clientes empresariales que desarrollan sus aplicaciones en .NET Framework, recomendamos que actualicen las bibliotecas y establezcan el comportamiento de SameSite intencionalmente para evitar resultados impredecibles causados por el cambio en el comportamiento de las cookies. Para ello, consulte el siguiente artículo del blog de ASP.NET de Microsoft:
Próximos cambios de cookies de SameSite en ASP.NET y ASP.NET Core
Además, consulte el siguiente artículo del blog de Google Chromium para obtener orientación para desarrolladores sobre este problema:
Desarrolladores: Prepárese para el nuevo SameSite=None; Configuración de cookies seguras
Los clientes con sitios afectados que tienen impacto sobre los consumidores o usuarios que no están cubiertos por sus políticas empresariales deben indicarles que usen un navegador diferente (Edge, Firefox, Internet Explorer) o guiarlos para deshabilitar la configuración en Chrome (como se muestra en la siguiente sección) mientras arreglan sus aplicaciones.
Pautas para pruebas
Google ha publicado esta guía para que los desarrolladores se preparen para los cambios de SameSite. Además, le recomendamos que pruebe sus sitios web y aplicaciones utilizando el siguiente enfoque.
Utilice Chrome Beta versión 80 para probar los escenarios:
Descargar Chrome Beta versión 80:
- Para Windows de 64 bits: Canal beta para Windows (64 bits)
- Para Windows de 32 bits: Canal beta para Windows (32 bits)
Inicie Chrome utilizando la siguiente marca de línea de comandos adicional:
--enable-features=SameSiteDefaultChecksMethodRigorouslyHabilite las marcas de SameSite. Para hacer esto, escriba chrome://flags en la barra de direcciones, busque SameSite y luego seleccione Enabled para las siguientes opciones.
Más información
La comunidad web está trabajando en una solución para abordar el uso abusivo de las cookies de seguimiento y la falsificación de solicitudes entre sitios a través de un estándar conocido como SameSite.
El equipo de Chrome había anunciado planes para implementar un cambio en el comportamiento predeterminado de la funcionalidad SameSite a partir de una versión de Chrome 78 Beta el 18 de octubre de 2019. Este lanzamiento se trasladará a la versión 80 de Chrome el 4 de febrero de 2020. Este cambio ayuda a mejorar la seguridad web. Sin embargo, también rompe los flujos de autenticación que se basan en el estándar OpenID Connect. Por lo tanto, los patrones de autenticación consolidados no funcionarán.
Comprobar la versión de Chrome
Si sospecha que sus usuarios están usando una versión 76 de Chrome o una versión posterior que tiene SameSite habilitado, puede verificar el número de versión navegando a chrome://settings/helpo seleccionando el icono de configuración de Chrome y luego Ayuda>Acerca de Google Chrome.
Para las versiones 77 a 79 de Chrome, navegue hasta chrome://flagspara ver si tienen las marcas habilitadas. La configuración predeterminada comenzará a cambiar en la versión 80 de Chrome con un lanzamiento gradual.
Aviso de declinación de responsabilidades sobre la información de terceros
Los productos de otros fabricantes que se mencionan en este artículo han sido creados por compañías independientes de Microsoft. Microsoft no ofrece ninguna garantía, ya sea implícita o de otro tipo, sobre la confiabilidad o el rendimiento de dichos productos.
Aviso de declinación de responsabilidades sobre la información de contacto de terceros
Microsoft proporciona información de contacto de otros proveedores para ayudarle a encontrar soporte técnico. Dicha información de contacto puede cambiar sin notificación previa. Microsoft no garantiza la precisión de esta información de contacto de terceros.