Loading

El lanzamiento del navegador Google Chrome de febrero de 2020 cambia el comportamiento de cookies SameSite y puede interrumpir las integraciones de Salesforce

Fecha de publicación: Oct 1, 2020
Descripción
El atributo de SameSite en una cookie controla su comportamiento entre dominios cruzados. Este estado de la plataforma Chrome explica la intención del atributo de SameSite.
“SameSite es una defensa razonablemente sólida frente algunas clases de ataques de falsificaciones de solicitudes de sitio cruzadas (CSRF), pero los desarrolladores en estos momentos tienen que suscribir sus protecciones especificando un atributo de SameSite. En otras palabras, los desarrolladores son vulnerables ante ataques de CSRF de forma predeterminada. Este cambio permitiría que los desarrolladores estuviesen protegidos por defecto, permitiendo al mismo tiempo que los sitios que requieren declarar en solicitudes de sitio cruzadas puedan suscribirse en el estado actual del modelo menos seguro.”

Si no se especifica ningún atributo de SameSite, la versión 80 de Chrome establece las cookies como SameSite=Lax de forma predeterminada. El valor predeterminado previo a la versión 80 de Chrome es SameSite=None. Los desarrolladores pueden seguir suscribiendo el estado actual de uso no restringido estableciendo SameSite=None; Secure de manera explícita.

Para obtener más información, consulte esta publicación del blog Chromium.

Para consultar la cronología de la versión 80 de Chrome, vea la página de actualizaciones SameSite de Google.


¿Qué implica esto para mi?

1. Las cookies no funcionarán en accesos de navegador no seguros (HTTP). Utilice HTTPS en su lugar.
2. Cualquier integración personalizada que dependa de las cookies podría dejar de funcionar en Google Chrome. Este cambio afecta en particular, aunque no se limita a ello, a inicios de sesión únicos personalizados, así como a integraciones que utilizan iframes.


¿Qué tengo que hacer?

Antes del lanzamiento de la versión 80 de Chrome, pruebe todas las integraciones de Salesforce que dependan de cookies que sean propiedad y estén establecidas por su integración. Si encuentra cualquier regresión, actualice el atributo de SameSite en las cookies empleadas en la comunicación entre dominios cruzados y establézcalo explícitamente en SameSite=None; Secure.

Esta publicación del blog Chromium explica cómo probar el efecto del nuevo comportamiento de Chrome en su sitio o cookies que gestiona navegando a chrome://flags en Chrome 76 y versiones posteriores y activando los experimentos “Cookies con SameSite de forma predeterminada” y “Las cookies sin SameSite deben ser seguras”.

Nota: Mientras pruebe sus cookies, considere cuál es el valor más seguro de SameSite que funcione para cada cookie. Si una cookie está destinada a que solo tenga acceso en un contexto propio, puede aplicar SameSite=Lax o SameSite=Strict para evitar el acceso externo. Establecer SameSite=Lax de manera explícita significa que no está dependiendo del comportamiento predeterminado del navegador.


¿Qué implica esto para Ventas y Servicio en Lightning Experience y Salesforce Classic?

Fomentamos el esfuerzo continuado de la mejora de la privacidad y la seguridad en todo Internet. Estamos trabajando activamente para resolver los problemas conocidos de la versión Winter ’20 relacionado con el atributo de SameSite en cookies establecido por Salesforce. Actualizaremos este artículo cuando surja nueva información.


¿Qué implica esto para B2C Commerce?

Para consultar los pasos para prepararse para los cambios de SameSite de Chrome, vea la documentación de B2C Commerce.


Recursos

Número del artículo de conocimiento

000381201

 
Cargando
Salesforce Help | Article