Loading

Google Chrome -selaimen julkaisu helmikuussa 2020 muuttaa SameSite-evästetoimintaa ja voi rikkoa Salesforce-integraatioita

Julkaisupäivä: Oct 1, 2020
Kuvaus
SameSite-evästeen attribuutti ohjaa toimialueiden välistä käyttäytymistä. Tässä Chrome-alustan tilassa selitetään SameSite-attribuutti.
“SameSite on kohtuullisen vankka puolustus tietyn luokan jaetun julkaisuoikeuspyynnön väärentämishyökkäyksiä (CSRF) vastaan. Kehittäjien täytyy tällä hetkellä ottaa sen suojausominaisuudet käyttöön määrittämällä SameSite-attribuutti. Toisin sanoen kehittäjät ovat oletusarvoisesti haavoittuvaisia CSRF-hyökkäyksille. Tämän muutoksen avulla kehittäjät ovat oletusarvoisesti suojassa sallien samalla sivustot, jotka tarvitsevat tilan ”sivustojen välillä ja jotka voivat käyttää nykyisen tilan vähemmän suojaamatonta mallia.”

Jos SameSite-attribuuttia ei määritetä, Chrome 80 -julkaisu määrittää evästeet oletusarvoisesti muotoon SameSite=Lax. Edellisestä Chrome 80 -julkaisuun, oletuksena on SameSite=None. Kehittäjät voivat silti käyttää rajoittamattoman käytön vallitsevaa tilaa asettamalla SameSite=None; Secure.

Katso lisätietoja tästä Chromium-blogikirjoituksesta.

Lisätietoja Chrome 80 -julkaisun aikataulusta löytyy Googlen SameSite-päivityssivulta.


Mitä tämä tarkoittaa minulle?

1. Evästeet eivät toimi suojaamattomassa (HTTP) selainkäytössä. Käytä sen sijaan HTTPS:ää.
2. Mitkään mukautetut integraatiot, jotka käyttävät evästeitä, eivät välttämättä toimi enää Google Chromessa. Muutos vaikuttaa erityisesti, mutta ei rajoittuen mukautettuun kertakirjautumiseen ja iframesia käyttäviin integraatioihin.


Mitä minun täytyy tehdä?

Testaa ennen Chrome 80 -julkaisua mukautetut Salesforce-integraatiot, jotka ovat riippuvaisia integraatiosi omistamista ja määrittämistä evästeistä. Jos havaitset regressioita, päivitä SameSite-attribuutti evästeille, joita käytetään eri toimialueiden välisessä viestinnässä muotoon SameSite=None; Secure.

Tässä Chromium-blogikirjoituksessa kerrotaan kuinka testataan uuden Chromen käyttäytyminen sivustollasi tai hallitsemillasi evästeillä. Siirry Chrome 76+:ssa osoitteeseen chrome://flags ja ota käyttöön ”SameSite oletusevästeillä” (SameSite by default cookies) ja ”Evästeet ilman SameSitea täytyvät olla suojatut” (Cookies without SameSite must be secure) -kokemukset.

Huomaa: Kun testaat evästeitäsi, harkitse mikä on suojatuin SameSite-arvo, joka toimii jokaisella evästeellä. Jos eväste on tarkoitettu käytettäväksi vain ensimmäisen osapuolen kontekstissa, voit käyttää SameSite=Lax tai SameSite=Strict estämään ulkopuolista käyttöä. Asetus SameSite=Lax tarkoittaa, että et ole riippuvainen oletusselaimen käyttäytymisestä.


Mitä tämä tarkoittaa Lightning Experiencen ja Salesforce Classicin Salesille ja Servicelle?

Tuemme jatkuvia pyrkimyksiä parantaa verkon yksityisyyttä ja suojausta. Työskentelemme aktiivisesti ratkaistaksemme Winter ’20 -julkaisun ongelmat, jotka liittyvät Salesforcen määrittämiin evästeiden SameSite-attribuutteihin. Päivitämme tätä artikkelia, kun saamme uutta tietoa.


Mitä tämä tarkoittaa B2C Commercelle?

Katso B2C Commerce -dokumentaatio valmistautuaksesi Chromen SameSite-muutoksiin.


Resurssit

Knowledge-artikkelin numero

000381201

 
Ladataan
Salesforce Help | Article