Влияние на веб-сайты клиентов, а также службы и продукты Microsoft в Chrome версии 80 или более поздней.
Примечание.
Ранее в этой статье упоминался Google Chrome Beta версии 79. Google планирует выпустить функцию cookie в стабильной версии Chrome 80. Chrome обновил свой график развертывания чтобы указать, что это изменение будет внедрено в Chrome 80 начиная с 17 февраля. Chrome 80 поступит в продажу 4 февраля, и эта функция будет там по умолчанию отключена. Эта функция будет включена по постепенному графику начиная с 17 февраля.
Аннотация
Стабильная версия веб-браузера Google Chrome (сборка 80, выпуск которой запланирован на 4 февраля 2020 г.) внесет изменения в поведение файлов cookie по умолчанию, начиная с 17 февраля. Хотя это изменение предназначено для предотвращения отслеживания вредоносных файлов cookie и защиты веб-приложений, ожидается, что оно затронет многие приложения и службы, основанные на открытых стандартах. Сюда входят облачные сервисы Microsoft.
Корпоративным клиентам рекомендуется убедиться, что они подготовились к этим изменениям и готовы реализовать меры по снижению рисков, протестировав свои приложения (будь то разработанные на заказ или приобретенные). Дополнительные сведения см. в разделе "Рекомендации".
Microsoft стремится исправить это изменение поведения в своих продуктах и сервисах до даты выпуска Chrome 80. В этой статье обсуждаются рекомендации Microsoft и Google по установке различных обновлений, необходимых для продуктов и библиотек, а также руководство по тестированию и подготовке. Однако не менее важно, чтобы вы тестировали свои собственные приложения на предмет этого изменения в поведении Chrome и при необходимости подготовили собственные веб-сайты и веб-приложения.
Влияние на клиентские приложения
Примечание.
Если вы не можете просмотреть разрешения при попытке активировать песочницу Microsoft Learn, очистите данные просмотра, перейдя к chrome://settings/clearBrowserData.
Все облачные сервисы Microsoft обновлены в соответствии с новыми требованиями Chrome, но некоторые другие приложения все еще могут быть затронуты. Просмотрите раздел "Рекомендации", где приведены некоторые серверные продукты, которые потребуют обновления клиентами.
Вам следует тщательно протестировать все приложения с помощью Chrome Beta версии 80, чтобы проверить эффект этого изменения. Мы ожидаем, что проблемы, подобные проблемам, описанным в этой статье, повлияют на ваши приложения. Это особенно верно для приложений, которые используют любую веб-платформу или технологию, которая использует междоменный обмен файлами cookie, например приложения, встроенные в другие приложения.
В бета-версиях Chrome 78 и 79 есть улучшение, которое задерживает применение атрибута SameSite:Laxв течение двух минут. Однако использование этих версий для тестирования может скрыть другие проблемы. Поэтому мы рекомендуем вам протестировать Chrome версии 80 с включенными определенными флагами. Это может, по крайней мере, помочь вам обнаружить эффект, чтобы вы могли определить наилучший план. Дополнительные сведения см. в разделе "Инструкции по тестированию".
Эти изменения SameSite не повлияют на браузер Microsoft Edge в Chromium (версия 80). Ознакомьтесь с документацией по Edge, где приведен текущий план адаптации к этому изменению.
Рекомендации
Клиенты Microsoft, использующие службы федерации Active Directory (AD FS) или прокси-сервер веб-приложения, должны развернуть одно из следующих обновлений Windows Server:
| Продукт | Статья базы знаний | Дата выпуска |
|---|---|---|
| Windows Server 2019 | KB 4534273 | 14 января 2020 г. |
| Windows Server 2016 | KB 4534271 | 14 января 2020 г. |
| Windows Server 2012 R2 | KB 4534309 | 14 января 2020 г. |
Следующие серверные или клиентские продукты Microsoft также должны быть обновлены. Обновления будут добавлены в эту статью, когда они станут доступны. Мы рекомендуем вам регулярно просматривать эту статью для получения последних обновлений.
| Продукт | Статья базы знаний | Дата выпуска |
|---|---|---|
| Exchange Server 2019 | KB 4537677 | 17 марта 2020 г. |
| Exchange Server 2016 | KB 4537678 | 17 марта 2020 г. |
| Project Server 2013 | KB 4484360 | 12 мая 2020 г. |
| Project Server 2010 | KB 4484388 | 12 мая 2020 г. |
| SharePoint Foundation 2013 |
KB 4484364 (Накопительный пакет обновления: KB 4484358)1 |
12 мая 2020 г. |
| SharePoint Foundation 2010 | KB 4484386 | 27 апреля 2020 г. |
| SharePoint Server 2019 | KB 4484259 | 11 февраля 2020 г. |
| SharePoint Server 2016 | KB 4484272 | 10 марта 2020 г. |
| SharePoint Server 2013 | KB 4484362 | 12 мая 2020 г. |
| SharePoint Server 2010 | KB 4484389 | 12 мая 2020 г. |
| Skype для бизнеса Server 2019 |
KB 4549672 (Накопительный пакет обновления: KB 4582629)1 |
Накопительный пакет обновления за сентябрь 2020 г. (CU 4) |
| Skype для бизнеса Server 2015 |
KB 4549672 (Накопительный пакет обновления: KB 4558387)1 |
Накопительное обновление за май 2020 г. (CU 11) |
Примечание.
1 Это накопительное обновление содержит исправление проблемы с cookie-файлами SameSite, а также дополнительные исправления, не связанные с проблемой cookie-файлов SameSite. Microsoft рекомендует устанавливать это накопительное обновление, а не отдельное обновление, чтобы обеспечить наличие в вашей среде всех исправлений, доступных на момент выпуска данного накопительного обновления.
Вы должны протестировать свои приложения для всех следующих сценариев и определить соответствующий план на основе результатов тестов:
- На ваше приложение изменения SameSite не повлияют. В этом случае никаких действий предпринимать не нужно.
- Это повлияет на ваше приложение, но разработчики вашего программного обеспечения могут вовремя внести изменения, чтобы использовать режим файлов cookie SameSite:None. В этом случае вам следует изменить свое приложение, следуя инструкциям разработчика в разделе "Рекомендации по тестированию".
- Ваше приложение затронуто, но не может быть изменено вовремя. Для внутренних сайтов это приложение можно исключить из режима принудительного применения SameSite в Chrome с помощью параметра LegacySameSiteCookieBehaviorEnabledForDomainList.
Если корпоративные клиенты узнают, что затронуты большинство их приложений, или если у них нет достаточного времени для тестирования своих приложений до постепенного выпуска функции, начиная с 18 февраля, им рекомендуется отключить поведение SameSite на компьютерах, которыми они управляют. Они могут сделать это с помощью групповой политики, System Center Configuration Manager или Microsoft Intune (или любого программного обеспечения для управления мобильными устройствами), пока не убедятся, что новое поведение не нарушает базовые сценарии в их приложениях.
Google выпустил следующие корпоративные элементы управления, которые можно настроить, чтобы отключить принудительное поведение SameSite в Chrome:
- LegacySameSiteCookieBehaviorEnabled, который включает или отключает это изменение.
- LegacySameSiteCookieBehaviorEnabledForDomainList - позволяет Chrome отключать эту политику для определенных доменов.
Корпоративным клиентам, которые разрабатывают свои приложения на .NET Framework, мы рекомендуем обновлять библиотеки и настраивать поведение SameSite намеренно, чтобы избежать непредсказуемых результатов, вызванных изменением поведения файлов cookie. Дополнительные сведения см. в следующей статье блога по Microsoft ASP.NET:
Предстоящие изменения файлов cookie SameSite в ASP.NET и ASP.NET Core
Кроме того, см. следующую статью в блоге Google Chromium для получения рекомендаций по этой проблеме для разработчиков:
Разработчики: Приготовьтесь к новому режиму SameSite=None; безопасной настройке файлов cookie
Клиенты, у которых есть затронутые сайты, которые влияют на потребителей или пользователей, не подпадающих под действие их корпоративных политик, должны проинструктировать этих пользователей использовать другой браузер (Edge, Firefox, Internet Explorer) или объяснить этим пользователям, как отключить настройки в Chrome (как показано в следующем разделе), пока они исправляют свои приложения.
Рекомендации по тестированию
Google опубликовал это руководство для разработчиков, которое поможет им подготовиться к изменениям SameSite. Кроме того, мы рекомендуем вам протестировать свои веб-сайты и приложения, используя следующий подход.
Используйте Chrome Beta версии 80 для тестирования сценариев:
Загрузите Chrome Beta версии 80:
- 64-разрядная Windows: Бета-канал для Windows (64-бит)
- 32-разрядная Windows: Бета-канал для Windows (32-бит)
Запустите Chrome, используя следующий дополнительный флаг командной строки:
--enable-features=SameSiteDefaultChecksMethodRigorouslyВключите флаги SameSite. Для этого введите chrome://flags в адресной строке найдите SameSite и выберите Включено для следующих параметров.
Дополнительная информация
Веб-сообщество работает над решением проблемы неправомерного использования отслеживающих файлов cookie и подделки межсайтовых запросов с помощью стандарта, известного как SameSite.
Команда Chrome объявила о планах по развертыванию изменение поведения по умолчанию функциональности SameSite, начиная с выпуска бета-версии Chrome 78 от 18 октября 2019 г. Этот выпуск будет перенесен в выпуск Chrome версии 80 от 4 февраля 2020 г. Это изменение помогает повысить безопасность в Интернете. Однако оно также нарушает потоки аутентификации, основанные на стандарте OpenID Connect. Следовательно, привычные шаблоны аутентификации работать не будут.
Проверка версии Chrome
Если вы подозреваете, что ваши пользователи используют Chrome версии 76 или более поздней версии с включенным SameSite, вы можете проверить номер версии, перейдя к chrome://settings/helpили выбрав значок настроек Chrome, а затем выбрав Помощь>О Google Chrome.
Для версий Chrome 77–79 перейдите в chrome://flagsчтобы увидеть, включены ли у них эти флаги. Настройки по умолчанию начнут изменяться в Chrome версии 80 при постепенном выпуске.
Заявление об отказе от ответственности за сведения о продуктах сторонних производителей
В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.
Заявление об отказе от ответственности за контактные данные сторонней организации
Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно правильности приведенных контактных данных сторонних производителей.