Effect op websites van klanten en Microsoft-services en -producten in Chrome-versie 80 of hoger

Notitie

Eerder verwees dit artikel naar Google Chrome-bètaversie 79. Google is van plan om een cookie-gedrag in Chrome Stable-versie 80 vrij te geven. Chrome heeft zijn uitroltijdlijn bijgewerkt om aan te geven dat deze wijziging vanaf de week van 17 februari in Chrome 80 zal worden geïmplementeerd. Chrome 80 wordt op 4 februari verzonden en heeft deze functie standaard uitgeschakeld. De functie zal vanaf 17 februari stapsgewijs worden ingeschakeld.

Samenvatting

De stabiele release van de Google Chrome-webbrowser (build 80, gepland voor release op 4 februari 2020) zal vanaf de week van 17 februari een wijziging in het standaard cookiegedrag implementeren. Hoewel de wijziging bedoeld is om het schadelijk volgen van cookies te ontmoedigen en webtoepassingen te beschermen, zal deze naar verwachting ook gevolgen hebben voor veel toepassingen en diensten die op open standaarden zijn gebaseerd. Dit omvat Microsoft-cloudservices.

Enterprise-klanten worden aangemoedigd om ervoor te zorgen dat deze op de verandering zijn voorbereid en klaar zijn om maatregelen te nemen door hun toepassingen te testen (of ze nu op maat zijn ontwikkeld of gekocht). Raadpleeg het gedeelte 'Aanbevelingen' voor meer informatie.

Microsoft is vastbesloten om deze gedragsverandering in zijn producten en diensten op te lossen voordat Chrome 80 wordt uitgebracht. In dit artikel worden de richtlijnen van zowel Microsoft als Google besproken voor het installeren van de verschillende updates die vereist zijn voor producten en bibliotheken en de richtlijnen voor testen en voorbereiden. Het is echter ook belangrijk dat u uw eigen toeopassingen test op deze verandering in Chrome-gedrag en uw eigen websites en webtoepassingen voorbereidt als dat nodig is.

Effect op klanttoepassingen

Notitie

Als u de machtigingen niet kunt controleren wanneer u een Microsoft Learn-sandbox probeert te activeren, ga naar browsergeschiedenis verwijderen door te navigeren naar chrome://settings/clearBrowserData.

Alle Microsoft Cloud-services zijn bijgewerkt om te voldoen aan de nieuwe vereisten van Chrome, maar sommige andere toepassingen kunnen nog steeds worden beïnvloed. Controleer het gedeelte 'Aanbevelingen' voor sommige serverproducten die door klanten moeten worden bijgewerkt.

U moet alle applicaties grondig testen door Chrome-bètaversie 80 te gebruiken om het effect van deze wijziging te verifiëren. We verwachten dat problemen die vergelijkbaar zijn met de problemen die in dit artikel worden beschreven, gevolgen zullen hebben voor uw toepassingen. Dit geldt met name voor toepassingen die een webplatform of technologie gebruiken die afhankelijk is van het delen van cookies tussen domeinen, zoals apps die zijn ingesloten in andere apps.

De bèta's van Chrome versie 78 en 79 hebben een verbetering waardoor de handhaving van het attribuut SameSite:Laxtwee minuten wordt uitgesteld. Het gebruik van deze versies voor tests kan echter andere problemen verhullen. Daarom raden wij u aan te testen door Chrome-versie 80 te gebruiken met specifieke vlaggen ingeschakeld. Dit kan u helpen het effect te ontdekken, zodat u kunt bepalen wat uw beste plan is Raadpleeg het gedeelte 'Testrichtlijnen' voor meer informatie.

Microsoft Edge-browser op Chromium (versie 80) wordt niet beïnvloed door deze SameSite-wijzigingen. U kunt de Edge-documentatie lezen om het huidige plan voor het aanpassen van deze wijziging te bekijken.

Aanbevelingen

Microsoft-klanten die Active Directory Federation Services (AD FS) of Web Application Proxy gebruiken, moeten een van de volgende Windows Server-updates implementeren:

Product KB-artikel Releasedatum
Windows Server 2019 KB 4534273 dinsdag 14 januari 2020
Windows Server 2016 KB 4534271 dinsdag 14 januari 2020
Windows Server 2012 R2 KB 4534309 dinsdag 14 januari 2020

De volgende Microsoft-server- of clientproducten moeten ook worden bijgewerkt. De updates worden aan dit artikel toegevoegd zodra ze beschikbaar zijn. We raden u aan dit artikel regelmatig te raadplegen voor de laatste updates.

Product KB-artikel Releasedatum
Exchange Server 2019 KB 4537677 dinsdag 17 maart 2020
Exchange Server 2016 KB 4537678 dinsdag 17 maart 2020
Project Server 2013 KB 4484360 dinsdag 12 mei 2020
Project Server 2010 KB 4484388 dinsdag 12 mei 2020
SharePoint Foundation 2013 KB 4484364
(Cumulatieve update: KB 4484358)1
dinsdag 12 mei 2020
SharePoint Foundation 2010 KB 4484386 maandag 27 april 2020
SharePoint Server 2019 KB 4484259 dinsdag 11 februari 2020
SharePoint Server 2016 KB 4484272 dinsdag 10 maart 2020
SharePoint Server 2013 KB 4484362 dinsdag 12 mei 2020
SharePoint Server 2010 KB 4484389 dinsdag 12 mei 2020
Skype voor Bedrijven Server 2019 KB 4549672
(Cumulatieve update: KB 4582629)1
Cumulatieve update september 2020 (CU 4)
Skype voor Bedrijven Server 2015 KB 4549672
(Cumulatieve update: KB 4558387)1
Cumulatieve update mei 2020 (CU 11)

Notitie

1 Deze cumulatieve update bevat de oplossing voor het SameSite-cookieprobleem, plus aanvullende oplossingen die geen verband houden met het SameSite-cookieprobleem. Microsoft raadt aan de cumulatieve update te installeren in plaats van de afzonderlijke updates om er zeker van te zijn dat uw omgeving alle fixes heeft die beschikbaar waren op het moment dat de cumulatieve update werd uitgebracht.

U moet uw toepassingen testen voor alle volgende scenario's en het juiste plan bepalen op basis van de resultaten van de tests:

  • Uw toepassing wordt niet beïnvloed door de SameSite-wijzigingen. In dit geval hoeft u geen actie te ondernemen.
  • Uw toepassing wordt hierdoor beïnvloed, maar uw softwareontwikkelaars kunnen de wijziging op tijd aanbrengen om de cookie-instellingen SameSite:None te gebruiken. In dit geval moet u uw toepassing wijzigen door de richtlijnen voor ontwikkelaars in het gedeelte 'Testrichtlijnen' te volgen.
  • Uw toepassing wordt beïnvloed, maar kan niet op tijd worden gewijzigd. Voor interne sites kan de toepassing worden uitgesloten van het SameSite-handhavingsgedrag in Chrome door de instelling LegacySameSiteCookieBehaviorEnabledForDomainList te gebruiken.

Als zakelijke klanten merken dat de meeste van hun apps zijn getroffen, of als ze niet genoeg tijd hebben om hun apps te testen vóór de geleidelijke release van de functie die op 18 februari begint, worden ze aangemoedigd om het SameSite-gedrag uit te schakelen op computers die ze beheren. Ze kunnen dit doen door Groepsbeleid, System Center Configuration Manager of Microsoft Intune (of andere Mobile Device Management-software) te gebruiken totdat ze kunnen verifiëren dat het nieuwe gedrag de basisscenario's in hun apps niet verbreekt.

Google heeft het volgende vrijgegeven: ondernemingsbeheer en dit kan worden ingesteld om het SameSite-handhavingsgedrag in Chrome uit te schakelen:

Voor ondernemingsklanten die hun toepassingen op .NET Framework ontwikkelen, raden we aan dat ze bibliotheken bijwerken en het SameSite-gedrag opzettelijk instellen om onvoorspelbare resultaten te voorkomen die worden veroorzaakt door de verandering in het cookiegedrag. Raadpleeg hiervoor de richtlijnen in het volgende Microsoft ASP.NET Blog-artikel:

Aankomende SameSite-cookiewijzigingen in ASP.NET en ASP.NET Core

Raadpleeg ook het volgende Google Chromium-blogartikel voor richtlijnen voor ontwikkelaars over dit probleem:

Ontwikkelaars: Maak u klaar voor nieuwe SameSite=NONE; veilige cookie-instellingen

Klanten die getroffen zijn door sites die gevolgen hebben voor consumenten of gebruikers die niet onder hun Enterprise-beleid vallen, moeten die gebruikers instrueren om een andere browser te gebruiken (Edge, Firefox, Internet Explorer) of die gebruikers uitleggen hoe ze de instellingen in Chrome kunnen uitschakelen (zoals weergegeven in de volgende sectie) terwijl ze hun toepassingen herstellen.

Richtlijnen voor testen

Google heeft deze richtlijnen gepubliceerd voor ontwikkelaars om zich voor te bereiden op de SameSite-veranderingen. Daarnaast raden wij u aan om uw websites en apps te testen aan de hand van de volgende aanpak.

Gebruik Chrome-bètaversie 80 om de scenario's te testen:

  1. Download Chrome-bètaversie 80:

  2. Start Chrome met behulp van de volgende aanvullende opdrachtregelmarkering: --enable-features=SameSiteDefaultChecksMethodRigorously

  3. Schakel de SameSite-vlaggen in. Om dit te doen typt u chrome://flags in de adresbalk, zoekt u naar SameSite en selecteert u vervolgens Enabled voor de volgende opties.

Schermafbeelding om de SameSite-instellingen in Chrome in te schakelen.

Meer informatie

De webgemeenschap werkt aan een oplossing om misbruik van trackingcookies en cross-site request-vervalsing aan te pakken via een standaard die bekend staat als SameSite.

Het Chrome-team heeft plannen aangekondigd om een wijziging in het standaardgedrag van de SameSite-functionaliteit te implementeren vanaf een release van Chrome-versie 78-bèta op 18 oktober 2019. Deze implementatie zal worden verplaatst naar de release van Chrome-versie 80 op 4 februari 2020. Deze wijziging helpt de webbeveiliging te verbeteren. Het verbreekt echter ook verificatiestromen die zijn gebaseerd op de OpenID Connect-standaard. Daarom zullen bestaande verificatiepatronen niet werken.

De Chrome-versie controleren

Als u vermoedt dat uw gebruikers Chrome-versie 76 of een latere versie gebruiken waarop SameSite is ingeschakeld, kunt u het versienummer controleren door te navigeren naar chrome://settings/helpof door het Chrome-instellingenpictogram te selecteren en vervolgens Help > Over Google Chrome te selecteren.

Schermafbeelding toont stappen om de Chrome-versie te controleren.

Ga voor de 77-79-versies van Chrome naar chrome://flagsom te zien of de vlaggen zijn ingeschakeld. De standaardinstelling begint te veranderen in Chrome-versie 80 via een geleidelijke release.

Disclaimerinformatie van derden

De producten van derden die in dit artikel worden vermeld, worden vervaardigd door bedrijven die onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten.

Disclaimerinformatie van derden

Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder voorafgaande kennisgeving worden gewijzigd. Microsoft kan niet instaan voor de juistheid van deze contactinformatie.