Loading

Für Februar 2020 angekündigte Google Chrome-Version ändert Verhalten von SameSite-Cookies und kann dazu führen, dass Salesforce-Integrationen nicht mehr funktionieren

Veröffentlichungsdatum: Oct 1, 2020
Beschreibung
Das SameSite-Attribut eines Cookies steuert dessen domänenübergreifendes Verhalten. In diesem Chrome-Plattform-Status wird der Zweck des SameSite-Attributs erläutert.
"SameSite ist ein ziemlich robuster Schutz vor einigen Arten von Cross-Site-Request-Forgery(CSRF)-Angriffen, Entwickler müssen jedoch zurzeit explizit ein SameSite-Attribut angeben, um von diesem Schutz zu profitieren. Mit anderen Worten: Entwickler sind standardmäßig anfällig für CSRF-Angriffe. Durch diese Änderung sind Entwickler standardmäßig geschützt, gleichzeitig können aber Websites, die den Status quo beibehalten möchten, weiterhin das unsicherere Modell nutzen."

Falls kein SameSite-Attribut angegeben ist, werden Cookies in Chrome 80 standardmäßig auf SameSite=Lax festgelegt. Bislang ist der Standardwert SameSite=None. Entwickler können sich weiterhin für eine uneingeschränkte Nutzung entscheiden, indem sie Folgendes festlegen: SameSite=None; Secure.

Weitere Informationen finden Sie in diesem Chromium-Blog-Post.

Den Zeitplan der Veröffentlichung von Chrome 80 finden Sie auf der Seite SameSite Updates von Google.


Was bedeutet das für mich?

1. Cookies funktionieren bei einem Zugriff über HTTP nicht. Verwenden Sie stattdessen HTTPS.
2. Benutzerdefinierte Integrationen, die auf Cookies angewiesen sind, funktionieren in Google Chrome möglicherweise nicht mehr. Diese Änderung betrifft insbesondere benutzerdefiniertes Single Sign-On und Integrationen mit iframes, aber auch weitere Szenarien.


Was muss ich tun?

Testen Sie vor der Veröffentlichung von Chrome 80 vorhandene benutzerdefinierte Salesforce-Integrationen, die auf Cookies angewiesen sind, welche von Ihrer Integration gesetzt und verwaltet werden. Aktualisieren Sie falls erforderlich das SameSite-Attribut von Cookies, die für die domänenübergreifende Kommunikation verwendet werden, auf SameSite=None; Secure.

In diesem Chromium-Blog-Post ist erläutert, wie Sie die Auswirkungen des neuen Verhaltens von Chrome auf Ihre Website oder von Ihnen verwaltete Cookies testen. Rufen Sie dazu in Chrome 76 oder höher chrome://flags auf und aktivieren Sie die experimentellen Funktionen "SameSite by default cookies" (SameSite-Attribut für Cookies standardmäßig festlegen) und "Cookies without SameSite must be secure" (Cookies ohne SameSite müssen sicher sein).

Hinweis: Überlegen Sie beim Testen der Cookies, welches der sicherste SameSite-Wert für die einzelnen Cookies ist. Wenn ein Cookie ausschließlich in einem Erstanbieterkontext verwendet wird, können Sie den externen Zugriff mit SameSite=Lax oder SameSite=Strict verhindern. Wenn Sie explizit SameSite=Lax festlegen, bedeutet das, dass Sie sich nicht auf das Standardverhalten des Browsers verlassen.


Was bedeutet das für die Sales- und Service-Anwendungen in Lightning Experience und Salesforce Classic?

Wir unterstützen die laufenden Bemühungen, den Datenschutz und die Sicherheit im Web zu verbessern. Deshalb arbeiten wir aktiv daran, die bekannten Probleme der Version Winter '20 im Hinblick auf das SameSite-Attribut bei Cookies, die von Salesforce gesetzt werden, zu lösen. Sobald es neue Informationen dazu gibt, werden wir diesen Artikel aktualisieren.


Was bedeutet das für B2C Commerce?

In der Dokumentation zu B2C Commerce erfahren Sie, welche Schritte Sie zur Vorbereitung auf die Änderungen des SameSite-Attributs in Chrome durchführen können.


Ressourcen

Nummer des Knowledge-Artikels

000381201

 
Laden
Salesforce Help | Article