Loading

Changement de comportement pour le cookie SameSite avec la publication du navigateur Google Chrome en février 2020, et risque de rupture des intégrations Salesforce

Date de publication: Oct 1, 2020
Description
Dans un cookie, l'attribut SameSite contrôle son comportement entre domaines. Le statut Chrome Platform Status présente l'objectif de l'attribut SameSite.
« SameSite est une défense relativement robuste contre certaines classes d'attaques en falsification de requête intersites (CSRF), mais nécessite que les développeurs choisissent ses protections en spécifiant un attribut SameSite. En d'autres termes, les développeurs sont vulnérables par défaut aux attaques CSRF. Cette modification va permettre aux développeurs de se protéger par défaut tout en autorisant les sites qui nécessitent un état dans les requêtes intersites de choisir le modèle habituel moins sécurisé. »

Si aucun attribut SameSite n'est spécifié, la version Chrome 80 définit par défaut les cookies sur SameSite=Lax. Avant la publication de Chrome 80, le paramètre par défaut est SameSite=None. Les développeurs peuvent toujours choisir l'utilisation non restreinte habituelle en définissant explicitement SameSite=None; Secure.

Pour plus d'informations, consultez ce billet de blog Chromium.

Le calendrier de publication de Chrome 80 est disponible dans la page Google SameSite Updates.


Quel est l'impact de cette modification ?

1. Les cookies ne fonctionneront pas avec un accès navigateur non sécurisé (HTTP). Utilisez à la place le protocole HTTPS.
2. Toutes les intégrations personnalisées qui s'appuient sur des cookies risquent de ne plus fonctionner dans Google Chrome. Cette modification affecte notamment, sans s'y limiter, les authentifications uniques personnalisées et les intégrations qui utilisent des iframes.


Quelle est la procédure à suivre ?

Avant la publication de Chrome 80, testez toutes les intégrations Salesforce personnalisées qui s'appuient sur des cookies appartenant à ou définis par vos intégrations. Si vous détectez des régressions, mettez à jour l'attribut SameSite dans les cookies utilisés pour la communication entre domaines afin de définir explicitement SameSite=None; Secure.

Ce billet de blog Chromium explique comment tester l'impact du nouveau comportement de Chrome sur votre site ou les cookies que vous gérez en accédant à chrome://flags dans Chrome 76+ et en activant les Experiments (tests) « SameSite by default cookies » et « Cookies without SameSite must be secure ».

Remarque : En testant vos cookies, déterminez la valeur SameSite la plus sécurisée qui fonctionne avec chaque cookie. Si un cookie est conçu pour être accédé uniquement dans un contexte interne, vous pouvez appliquer SameSite=Lax ou SameSite=Strict afin d'empêcher tout accès externe. En définissant explicitement SameSite=Lax, vous ne dépendez pas du comportement par défaut du navigateur.


Quel est l'impact pour Ventes et Service dans Lightning Experience et Salesforce Classic ?

Nous soutenons les efforts continus d'amélioration de la confidentialité et de la sécurité sur le Web. Nous travaillons activement à la résolution des problèmes connus avec la version Winter ’20, liés à l'attribut SameSite dans les cookies définis par Salesforce. Cet article sera mis à jour à mesure que de nouvelles informations seront disponibles.


Quel est l'impact pour B2C Commerce ?

Pour connaître les étapes à suivre afin de vous préparer aux modifications de l'attribut SameSite de Chrome, consultez la documentation B2C Commerce.


Ressources (disponibles uniquement en anglais)

Numéro d’article de la base de connaissances

000381201

 
Chargement
Salesforce Help | Article