對 Chrome 版本 80 或更新版本中的客戶網站和 Microsoft 服務與產品的影響
注意事項
先前,本文參考 Google Chrome Beta 版本 79。 Google 排定要在 Chrome 穩定版本 80 中發佈 Cookie 行為。 Chrome 已更新其推出時間表,指出此變更會在 2 月 17 日那一週開始在 Chrome 80 中推出。 Chrome 80 在 2 月 4 日發佈,而且預設會停用此功能。 該功能會在 2 月 17 日開始,依據分級排程啟用。
摘要
Google Chrome 網頁瀏覽器的穩定版 (組建 80,排定於 2020 年 2 月 4 日發行) 在 2 月 17 日那一週開始,對預設的 Cookie 行為進行變更。 儘管此變更旨在防止惡意 Cookie 追蹤和保護 Web 應用程式,但預期也會影響許多以開放式標準為基礎的應用程式和服務。 這包括 Microsoft 雲端服務。
建議企業客戶測試其應用程式 (無論是自訂開發的,還是購買的),確保他們為變更做好準備,並準備實作風險降低措施。 如需詳細資訊,請參閱<建議>一節。
Microsoft 致力於在 Chrome 80 發行日期之前解決其產品和服務中的這種行為變更。 本文討論 Microsoft 和 Google 所提供關於安裝產品和程式庫所需之多種更新的指引,以及測試和準備指引。 不過,針對 Chrome 行為的這項變更測試自己的應用程式,還有視需要備妥自己的網站和 Web 應用程式同樣重要。
對客戶應用程式的影響
注意事項
如果在嘗試啟用 Microsoft Learn 沙箱時無法檢視權限,請瀏覽到 chrome://settings/clearBrowserData來清除瀏覽資料。
所有 Microsoft 雲端服務均已更新,以符合 Chrome 提出的新要求,但其他一些應用程式可能仍會受到影響。 如需一些需要由客戶更新的伺服器產品資訊,請參閱<建議>一節。
您應該使用 Chrome Beta 版本 80 徹底測試所有應用程式,以驗證此變更的影響。 我們預期與本文描述的問題類似的問題會影響您的應用程式。 應用程式若是使用任何仰賴跨網域 Cookie 共用的 Web 平台或技術 (例如,內嵌於其他應用程式中的應用程式),則更是如此。
Chrome 測試版 78 和 79 有一項改進,可以讓 SameSite:Lax屬性延遲兩分鐘強制執行。 不過,使用這些版本進行測試可能會掩蓋其他問題。 因此,建議您啟用特定旗標來使用 Chrome 版本 80 進行測試。 這樣做至少可以幫助您發現影響,進而確定您的最佳計劃。 如需詳細資訊,請參閱<測試指引>一節。
這些 SameSite 變更不會影響 Chromium (版本 80) 上的 Microsoft Edge 瀏覽器。 您可以閱讀 Edge 文件,查看目前適應此變更的計劃。
建議
使用 Active Directory 同盟服務 (AD FS) 或 Web 應用程式 Proxy 的 Microsoft 客戶必須部署下列其中一個 Windows Server 更新:
| 產品 | KB 文章 | 發行日期 |
|---|---|---|
| Windows Server 2019 | KB 4534273 | 2020 年 1 月 14 日 |
| Windows Server 2016 | KB 4534271 | 2020 年 1 月 14 日 |
| Windows Server 2012 R2 | KB 4534309 | 2020 年 1 月 14 日 |
還必須更新下列 Microsoft 伺服器或用戶端產品。 更新會在可用時新增至本文中。 建議您定期回到本文查看,以取得取最新更新。
| 產品 | KB 文章 | 發行日期 |
|---|---|---|
| Exchange Server 2019 | KB 4537677 | 2020 年 3 月 17 日 |
| Exchange Server 2016 | KB 4537678 | 2020 年 3 月 17 日 |
| Project Server 2013 | KB 4484360 | 2020 年 5 月 12 日,星期二 |
| Project Server 2010 | KB 4484388 | 2020 年 5 月 12 日,星期二 |
| SharePoint Foundation 2013 |
KB 4484364 (累積更新:KB 4484358)1 |
2020 年 5 月 12 日,星期二 |
| SharePoint Foundation 2010 | KB 4484386 | 2020 年 4 月 27 日 |
| SharePoint Server 2019 | KB 4484259 | 2020 年 2 月 11 日 |
| SharePoint Server 2016 | KB 4484272 | 2020 年 3 月 10 日 |
| SharePoint Server 2013 | KB 4484362 | 2020 年 5 月 12 日,星期二 |
| SharePoint Server 2010 | KB 4484389 | 2020 年 5 月 12 日,星期二 |
| 商務用 Skype Server 2019 |
KB 4549672 (累積更新:KB 4582629)1 |
2020 年 9 月累積更新 (CU 4) |
| 商務用 Skype Server 2015 |
KB 4549672 (累積更新:KB 4558387)1 |
2020 年 5 月累積更新 (CU 11) |
注意事項
1 此累積更新包含 SameSite Cookie 問題的修正程式,以及與 SameSite Cookie 問題無關的其他修正程式。 Microsoft 建議安裝累積更新而不是個別更新,以確保您的環境擁有累積更新發行時的所有可用修正程式。
您必須針對下列所有情況測試您的應用程式,並根據測試結果決定適當的計劃:
- SameSite 變更不會影響您的應用程式。 在這種情況下,無需採取任何措施。
- 您的應用程式受到影響,但軟體開發人員可以及時進行變更,以使用 SameSite:None Cookie 設定。 在這種情況下,您應該按照<測試指引>一節中的開發人員指引來變更應用程式。
- 您的應用程式受到影響,但無法及時變更。 若是內部網站,可以使用 LegacySameSiteCookieBehaviorEnabledForDomainList 設定,從 Chrome 中的 SameSite 強制行為排除該應用程式。
如果企業客戶得知其大部分應用程式都會受到影響,或是在 2 月 18 日開始分級發佈功能之前沒有足夠的時間可以測試其應用程式,建議他們在其管理的電腦中停用 SameSite 行為。 他們可以使用群組原則、System Center Configuration Manager 或 Microsoft Intune (或任何行動裝置管理軟體) 來執行此動作,直到他們驗證新行為不會中斷其應用程式中的基本案例為止。
Google 已發行下列企業控制項,可加以設定來停用 Chrome 中的 SameSite 強制行為:
- LegacySameSiteCookieBehaviorEnabled,其可啟用或停用此變更。
- LegacySameSiteCookieBehaviorEnabledForDomainList,其允許 Chrome 在特定網域上停用此原則。
對於在 .NET Framework 上開發應用程式的企業客戶,建議他們更新程式庫並刻意設定 SameSite 行為,以避免因 Cookie 行為的變更而導致無法預測的結果。 若要執行此動作,請參閱下列 Microsoft ASP.NET 部落格文章:
ASP.NET 和 ASP.NET Core 中即將發生的 SameSite Cookie 變更
另請參閱下列 Google Chromium 部落格文章,以取得有關此問題的開發人員指引:
開發人員:為新的 SameSite=None; Secure Cookie 設定做好準備
客戶受影響的網站若會影響到企業原則所未涵蓋的消費者或使用者,請務必指示那些使用者使用不同的瀏覽器 (Edge、Firefox、Internet Explorer),或逐步引導他們如何在 Chrome 中停用設定 (如下節所示),同時修正其應用程式。
測試指引
Google 已發佈此指引,以供開發人員為 SameSite 變更做好準備。 此外,建議您使用下列方法測試您的網站和應用程式。
使用 Chrome 測試版 80 測試案例:
下載 Chrome 測試版 80:
- Windows 64 位元:適用於 Windows (64 位元) 的 Beta 版通道
- Windows 32 位元:適用於 Windows (32 位元) 的 Beta 版通道
使用下列的其他命令行旗標來啟動 Chrome:
--enable-features=SameSiteDefaultChecksMethodRigorously啟用 SameSite 旗標。 若要執行此動作,請在網址列中輸入 chrome://flags,搜尋 SameSite,然後對下列選項選取 [已啟用]。
其他相關資訊
網站社群正在開發解決方案,透過稱為 SameSite 的標準來解決濫用追蹤 Cookie 和跨網站偽造要求。
Chrome 團隊已宣佈計劃,要從 2019 年 10 月 18 日發行的 Chrome 測試版 78 開始,推出 SameSite 功能的預設行為變更。 這將改為在 2020 年 2 月 4 日發行的 Chrome 版本 80 推出。 此變更有助於改善網站安全性。 不過,其也會中斷以 OpenID Connect 標準為基礎的驗證流程。 因此,完善的驗證模式無法使用。
檢查 Chrome 版本
如果您懷疑使用者在使用啟用 SameSite 的 Chrome 版本 76 或更新版本,您可以瀏覽到 chrome://settings/help,或選取 Chrome 設定圖示,然後選取 [說明]>[關於 Google Chrome],來檢查版本號碼。
若是 77-79 版本的 Chrome,請瀏覽到 chrome://flags以查看是否已啟用旗標。 設定預設會以分級發行方式,在 Chrome 版本 80 中開始變更。
協力廠商資訊免責聲明
本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。 Microsoft 不以默示或其他方式,提供與這些產品的效能或可靠性有關的擔保。
協力廠商連絡資訊免責聲明
Microsoft 提供協力廠商的連絡資訊,協助您尋找技術支援。 此連絡資訊如有變更,恕不另行通知。 Microsoft 不保證此協力廠商連絡資訊的正確性。