Loading

Il rilascio di febbraio 2020 del browser Google Chrome modifica il comportamento dei cookie SameSite e può causare interruzioni delle integrazioni Salesforce

Data pubblicazione: Oct 1, 2020
Descrizione
L'attributo SameSite su un cookie ne controlla il comportamento interdominio. Questo Chrome Platform Status spiega l'intento dell'attributo SameSite.
"SameSite è un meccanismo di difesa ragionevolmente solido contro alcune classi di attacchi di tipo Cross-Site Request Forgery (CSRF), ma attualmente gli sviluppatori devono acconsentire esplicitamente alle sue protezioni specificando un attributo SameSite. In altre parole, per impostazione predefinita, gli sviluppatori sono vulnerabili agli attacchi CSRF. Questa modifica consentirà agli sviluppatori di essere protetti per impostazione predefinita e al contempo permetterà ai siti che richiedono lo stato nelle richieste intersito di aderire esplicitamente al modello meno sicuro dello status quo."

Se non viene specificato alcun attributo SameSite, il rilascio di Chrome 80 imposta i cookie come SameSite=Lax per impostazione predefinita. Al momento, prima del rilascio Chrome 80, l'impostazione predefinita è SameSite=None. Gli sviluppatori possono ancora aderire allo status quo dell'utilizzo senza limitazioni impostando esplicitamente SameSite=None; Secure.

Per maggiori informazioni, vedere questo post del Chromium Blog.

Per la tempistica del rilascio Chrome 80, vedere la pagina SameSite Updates di Google (Aggiornamenti a SameSite).


Che cosa significa per me?

1. I cookie non funzioneranno per l'accesso ai browser non sicuri (HTTP). Utilizzare, invece, HTTPS.
2. Eventuali integrazioni personalizzate che utilizzano i cookie potrebbero non funzionare più in Google Chrome. Questa modifica incide in particolare, tra le altre cose, sul Single Sign-On personalizzato e sulle integrazioni che utilizzano iframes.


Cosa devo sapere?

Prima del rilascio Chrome 80, testare le integrazioni Salesforce personalizzate che si basano sui cookie di proprietà e impostati dalla propria integrazione. Se si riscontrano delle regressioni, aggiornare l'attributo SameSite sui cookie utilizzati per la comunicazione interdominio in modo che sia impostato esplicitamente SameSite=None; Secure.

Questo post del Chromium Blog spiega come testare le conseguenze del nuovo comportamento di Chrome sul proprio sito o sui cookie che si gestiscono navigando a chrome://flags in Chrome 76+ e abilitando gli esperimenti "SameSite by default cookies" e "Cookies without SameSite must be secure".

Nota: durante il testing dei cookie, valutare qual è il valore SameSite più sicuro che funziona per ciascun cookie. Se un cookie è inteso per l'accesso solo in un contesto first-party, è possibile applicare SameSite=Lax o SameSite=Strict per impedire l'accesso esterno. Impostando esplicitamente SameSite=Lax significa che non ci si sta basando sul comportamento del browser predefinito.


Che cosa significa questo per la sezione Vendite e Servizio in Lightning Experience e Salesforce Classic?

Sosteniamo lo sforzo costante per migliorare la privacy e la sicurezza sul Web. Stiamo lavorando attivamente per risolvere i problemi noti con il rilascio Winter '20 correlati all'attributo SameSite sui cookie impostati da Salesforce. Aggiorneremo questo articolo non appena saranno disponibili nuove informazioni.


Che cosa significa questo per B2C Commerce?

Vedere la documentazione di B2C Commerce che illustra i passaggi per prepararsi alle modifiche di SameSite in Chrome.


Risorse

Numero articolo Knowledge

000381201

 
Caricamento
Salesforce Help | Article