Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Annotazioni
In precedenza, questo articolo ha fatto riferimento a Google Chrome Beta versione 79. Google ha pianificato il rilascio di un comportamento dei cookie in Chrome Stable versione 80. Chrome ha aggiornato la sequenza temporale dell'implementazione per indicare che questa modifica verrà implementata in Chrome 80 a partire dalla settimana del 17 febbraio. Chrome 80 verrà fornito il 4 febbraio e questa funzionalità sarà disabilitata per impostazione predefinita. La funzionalità verrà abilitata in base a un programma graduale a partire dal 17 febbraio.
Riassunto
La versione stabile del Web browser Google Chrome (build 80, pianificata per il rilascio il 4 febbraio 2020) verrà implementata una modifica al comportamento predefinito dei cookie a partire dalla settimana del 17 febbraio. Anche se la modifica è destinata a scoraggiare il rilevamento di cookie dannosi e proteggere le applicazioni Web, è previsto che influisca anche su molte applicazioni e servizi basati su standard aperti. Sono inclusi i servizi cloud Microsoft.
I clienti aziendali sono invitati a assicurarsi che siano preparati per la modifica e siano pronti per implementare le mitigazioni testando le applicazioni (sviluppate o acquistate in modo personalizzato). Per altre informazioni, vedere la sezione "Raccomandazioni".
Microsoft si impegna a risolvere questo cambiamento nel comportamento nei propri prodotti e servizi prima della data di rilascio di Chrome 80. Questo articolo illustra le linee guida di Microsoft e Google per l'installazione dei vari aggiornamenti necessari per i prodotti e le librerie e le indicazioni per il test e la preparazione. Tuttavia, è altrettanto importante testare le proprie applicazioni rispetto a questa modifica nel comportamento di Chrome e preparare i propri siti Web e applicazioni Web in base alle esigenze.
Effetto sulle applicazioni dei clienti
Annotazioni
Se non è possibile esaminare le autorizzazioni quando si tenta di attivare una sandbox di Microsoft Learn, cancellare i dati di esplorazione passando a chrome://settings/clearBrowserData.
Tutti i servizi Cloud Microsoft vengono aggiornati in modo da rispettare i nuovi requisiti eseguiti da Chrome, ma alcune altre applicazioni potrebbero essere ancora interessate. Controllare la sezione "Raccomandazioni" per alcuni prodotti server che richiederanno l'aggiornamento da parte dei clienti.
È consigliabile testare accuratamente tutte le applicazioni usando Chrome Beta versione 80 per verificare l'effetto di questa modifica. Si prevede che i problemi simili ai problemi descritti in questo articolo influiscano sulle applicazioni. Ciò vale soprattutto per le applicazioni che usano qualsiasi piattaforma Web o tecnologia che si basa sulla condivisione di cookie tra domini, ad esempio le app incorporate in altre app.
Le versioni 78 e 79 beta di Chrome hanno un miglioramento che ritarda l'imposizione SameSite:Lax degli attributi per due minuti. Tuttavia, l'uso di queste versioni per i test può mascherare altri problemi. È quindi consigliabile eseguire il test usando Chrome versione 80 con flag specifici abilitati. In questo modo è possibile, almeno, aiutare a scoprire l'effetto in modo da poter determinare il piano migliore. Per altre informazioni, vedere la sezione "Linee guida per i test".
Il browser Microsoft Edge in Chromium (versione 80) non sarà interessato da queste modifiche SameSite. È possibile leggere la documentazione di Edge per visualizzare il piano corrente per adattare questa modifica.
Consigli
I clienti Microsoft che usano Active Directory Federation Services (AD FS) o Proxy applicazione Web devono distribuire uno degli aggiornamenti di Windows Server seguenti:
| Prodotto | Articolo della Knowledge Base | Data di rilascio |
|---|---|---|
| Windows Server 2019 | KB 4534273 | 14 gennaio 2020 |
| Windows Server 2016 | KB 4534271 | 14 gennaio 2020 |
| Windows Server 2012 R2 | KB 4534309 | 14 gennaio 2020 |
È necessario aggiornare anche i seguenti prodotti client o server Microsoft. Gli aggiornamenti verranno aggiunti a questo articolo quando sono disponibili. È consigliabile rivedere regolarmente questo articolo per gli aggiornamenti più recenti.
| Prodotto | Articolo della Knowledge Base | Data di rilascio |
|---|---|---|
| Exchange Server 2019 | KB 4537677 | 17 marzo 2020 |
| Exchange Server 2016 | KB 4537678 | 17 marzo 2020 |
| Project Server 2013 | KB 4484360 | 12 maggio 2020 |
| Project Server 2010 | KB 4484388 | 12 maggio 2020 |
| SharePoint Foundation 2013 |
KB 4484364 (Aggiornamento cumulativo: kb 4484358)1 |
12 maggio 2020 |
| SharePoint Foundation 2010 | KB 4484386 | 27 aprile 2020 |
| SharePoint Server 2019 | KB 4484259 | 11 febbraio 2020 |
| SharePoint Server 2016 | KB 4484272 | 10 marzo 2020 |
| SharePoint Server 2013 | KB 4484362 | 12 maggio 2020 |
| Server SharePoint 2010 | KB 4484389 | 12 maggio 2020 |
| Skype for Business Server 2019 |
KB 4549672 (Aggiornamento cumulativo: 4582629 KB)1 |
Aggiornamento cumulativo di settembre 2020 (CU 4) |
| Skype for Business Server 2015 |
KB 4549672 (Aggiornamento cumulativo: kb 4558387)1 |
Aggiornamento cumulativo di maggio 2020 (CU 11) |
Annotazioni
1 Questo aggiornamento cumulativo contiene la correzione per il problema del cookie SameSite, oltre a correzioni aggiuntive non correlate al problema del cookie SameSite. Microsoft consiglia di installare l'aggiornamento cumulativo anziché il singolo aggiornamento per assicurarsi che l'ambiente disponga di tutte le correzioni disponibili al momento del rilascio dell'aggiornamento cumulativo.
È necessario testare le applicazioni per tutti gli scenari seguenti e determinare il piano appropriato in base al risultato dei test:
- L'applicazione non è influenzata dalle modifiche sameSite. In questo caso, non c'è alcuna azione da intraprendere.
- L'applicazione è interessata, ma gli sviluppatori di software possono apportare la modifica nel tempo per usare le impostazioni del cookie SameSite:None . In questo caso, è necessario modificare l'applicazione seguendo le indicazioni per gli sviluppatori nella sezione "Linee guida per i test".
- L'applicazione è coinvolta, ma non può essere modificata tempestivamente. Per i siti interni, l'applicazione può essere esclusa dal comportamento di imposizione SameSite in Chrome usando l'impostazione LegacySameSiteCookieBehaviorEnabledForDomainList .
Se i clienti aziendali scoprono che la maggior parte delle loro app sono interessate, o se non hanno tempo sufficiente per testare le loro app prima del rilascio graduale della funzionalità a partire dal 18 febbraio, è consigliabile disabilitare il comportamento dei cookie SameSite nei computer che gestiscono. A tale scopo, è possibile usare Criteri di gruppo, System Center Configuration Manager o Microsoft Intune (o qualsiasi software di gestione dei dispositivi mobili) fino a quando non è possibile verificare che il nuovo comportamento non interrompa gli scenari di base nelle app.
Google ha rilasciato i controlli aziendali seguenti che possono essere impostati per disabilitare il comportamento di imposizione SameSite in Chrome:
- LegacySameSiteCookieBehaviorEnabled, che abilita o disabilita questa modifica.
- LegacySameSiteCookieBehaviorEnabledForDomainList, che consente a Chrome di disabilitare questo criterio in domini specifici.
Per i clienti aziendali che sviluppano le applicazioni in .NET Framework, è consigliabile aggiornare le librerie e impostare intenzionalmente il comportamento SameSite per evitare risultati imprevedibili causati dalla modifica del comportamento dei cookie. A tale scopo, vedere la guida nel seguente articolo del blog di Microsoft ASP.NET:
Imminenti modifiche ai cookie SameSite in ASP.NET e ASP.NET Core
Vedere anche l'articolo di blog di Google Chromium seguente per le indicazioni per gli sviluppatori su questo problema:
Sviluppatori: preparatevi per le nuove impostazioni dei cookie SameSite=None; sicure
I clienti che hanno siti interessati che influiscono sui consumatori o sugli utenti che non sono coperti dalle loro politiche aziendali devono istruire quegli utenti a usare un browser diverso (Edge, Firefox, Internet Explorer) oppure guidarli su come disabilitare le impostazioni in Chrome (come illustrato nella sezione successiva) mentre correggono le loro applicazioni.
Linee guida per i test
Google ha pubblicato queste linee guida per gli sviluppatori per prepararsi alle modifiche di SameSite. Inoltre, è consigliabile testare i siti Web e le app usando l'approccio seguente.
Usare Chrome Beta versione 80 per testare gli scenari:
Scaricare Chrome Beta versione 80:
- Per Windows 64-bit: Canale Beta per Windows (64-bit)
- Per Windows a 32-bit: Canale Beta per Windows (32-bit)
Avvia Chrome usando il seguente flag aggiuntivo della riga di comando:
--enable-features=SameSiteDefaultChecksMethodRigorouslyAbilitare i flag SameSite. A tale scopo, digitare chrome://flags nella barra degli indirizzi, cercare SameSite e quindi selezionare Abilitato per le opzioni seguenti.
Maggiori informazioni
La community Web sta lavorando a una soluzione per affrontare l'abuso di cookie di tracciamento e la falsificazione di richieste intersito attraverso uno standard noto come SameSite.
Il team di Chrome aveva annunciato di implementare una modifica del comportamento predefinito della funzionalità SameSite a partire da una versione di Chrome versione 78 Beta il 18 ottobre 2019. Questa implementazione verrà spostata nella versione 80 di Chrome il 4 febbraio 2020. Questa modifica consente di migliorare la sicurezza Web. Tuttavia, interrompe anche i flussi di autenticazione basati sullo standard OpenID Connect. Di conseguenza, i modelli di autenticazione ben definiti non funzioneranno.
Verifica della versione di Chrome
Se si sospetta che gli utenti usino una versione chrome 76 o successiva con SameSite abilitato, è possibile controllare il numero di versione passando a chrome://settings/help o selezionando l'icona delle impostazioni di Chrome e quindi selezionando Guida>su Google Chrome.
Per le versioni da 77 a 79 di Chrome, passare a chrome://flags per verificare se i flag sono abilitati. L'impostazione predefinita inizierà a cambiare nella versione 80 di Chrome tramite un rilascio graduale.
Clausola di esclusione della responsabilità per informazioni di terze parti
I prodotti di terze parti illustrati in questo articolo sono prodotti da aziende indipendenti da Microsoft. Microsoft non offre alcuna garanzia, implicita o espressa, sulle prestazioni o sull'affidabilità di questi prodotti.
Clausola di esclusione di responsabilità per il contatto di terze parti
Microsoft fornisce informazioni di contatto di terze parti per aiutarvi a trovare supporto tecnico. Queste informazioni di contatto sono soggette a modifica senza preavviso. Microsoft non garantisce l'accuratezza delle informazioni di contatto di terze parti.