Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む

Google Chrome ブラウザリリース 84 は SameSite Cookie の動作を変更し、Salesforce インテグレーションに影響を与える可能性があります

公開日: Oct 13, 2022
説明
Chrome は、2020 年 7 月 14 日の Chrome 84 の安定版リリースに合わせて、Cookie のデフォルトのクロスドメイン(SameSite) 動作を変更し、Chrome 80 以降で適用を有効にします。 SameSite の変更は Chrome80 リリースで 2020 年 2 月に開始されましたが、Google 社は 2020 年の夏まで SameSite の変更を一時的にロールバックしました。SameSite の変更はセキュリティとプライバシーを強化しますが、お客様とパートナー様は Cookie に依存するカスタム Salesforce インテグレーションをテストする必要があります。

Cookie の SameSite 属性は、クロスドメインの挙動を制御します。こちらの Chrome Platform StatusSameSite 属性の目的が説明されています。

「SameSite は一部のクロスサイトリクエストフォージェリ (CSRF) 攻撃については相応に堅牢な防御力を発揮しますが、現行ではデベロッパーは SameSite 属性を指定して保護をオプトイン (明示的に指定) する必要があります。言い換えれば、デベロッパーはデフォルトでは CSRF 攻撃に対して脆弱な状態です。この変更により、デベロッパーはデフォルトでも保護が確保され、クロスサイトリクエストで状態が必要となるサイトでは、現状の安全性の低いモデルをそのまま使うことができるようになります。」

SameSite 属性を指定しないと、Chrome 84 リリースでは Cookie がデフォルトで SameSite=Lax に設定されます。Chrome 84 より前のリリースでは、デフォルトは SameSite=None に設定されています。明示的に SameSite=None; Secure を指定すれば、デベロッパーは現状の制限のない使用を続けることができます。

詳細については、こちらの Chromium ブログ記事を参照してください。


Chrome SameSite の変更はいつ公開されますか?

Google 社の SameSite アップデートページは、SameSite の変更が、2020 年 7 月 14 日のChrome 84 の安定リリースで行われ、Chrome 80 以降で施行が有効になることを示しています。

当初、Google 社は 2020 年 2 月 17 日の週から、最初の限られたユーザに対して Chrome 80 安定リリースへの変更を開始しました。COVID-19 による異常な世界的状況のため、Google 社は 2020 年の夏まで SameSite の変更を一時的にロールバックしました。

Google 社は、問題が早期に検出され、すべてのユーザに提供される前に対処できるよう、Chrome と個々の機能の安定したリリースの引き延ばしを計画しています

Salesforce は、Google 社がいつリリースしようとも SameSite の変更に対応する準備ができています。 2020 年 2 月に Google 社の最初の SameSite ロールアウトの準備をするために貴社組織に変更を加えてテストした場合は、準備も整っており、これ以上行うことはありません。この変更に備えて組織を準備していない場合は、この記事で詳細を確認してください。

    解決策

    この変更による影響:

    Google Chrome による SameSite の変更には、組織での変更が必要になる場合があります。

    1. Cookie は、組織のコミュニティ、ポータル、サイト、Outlook または Gmail インテグレーションなどを含む非セキュアな (HTTP) ブラウザアクセスでは機能しません。 代わりに HTTPS を使用してください。
    2. Cookie に依存するカスタムインテグレーションは Google Chrome では機能しなくなる可能性があります。この変更は、クロスドメイン通信および iframe を使用したインテグレーションに特に影響しますが、これに限定されません。


    必要な対応:


    1. HTTP の代わりに HTTPS を使用する

    組織で HTTPS アクセスを必要とするには、[設定] メニューで下記のセッションの設定が有効になっていることを確認します。これらの設定はデフォルトで有効になっていますが、組織で HTTPS が必要であることを確認する必要があります。

    [設定] から、クイック検索ボックスに「セッションの設定」と入力し、[セッションの設定] を選択します。

    セキュアな接続 (HTTPS) が必要

    Salesforce へのログインまたは Salesforce へのアクセスに HTTPS が必要かどうかを決定します。Spring ’20 で、Salesforce へのアクセスに HTTPS 接続を必要とする「Require Secure HTTPS Connections (セキュアな HTTPS 接続が必要) 」という重要な更新を追加しました。

    すべてのサードパーティドメインでセキュアな接続 (HTTPS) が必要

    サードパーティドメインへの接続に HTTPS が必要かどうかを決定します。

    これらの設定のいずれかが無効になっている場合、Chrome 80 のリリース後、Chrome ユーザに対して Salesforce が完全に機能しない可能性があります。

    コミュニティ、ポータル、またはサイトで HTTPS アクセスを必要とする場合:
     
    a. [設定] からクイック検索ボックスに「サイト」と入力し、[サイト] を選択します。
    b. 編集したいサイトをクリックし、[セキュアな接続 (HTTPS) が必要] チェックボックスが選択されていることを確認します。

    Salesforce Classic Canvas 接続アプリケーションがHTTPS で動作するかどうかを確認するには:

    a. Salesforce Classicの[設定]から、クイック検索ボックスに「キャンバスアプリケーションのプレビューア」と入力し、[キャンバスアプリケーションのプレビューア] を選択します。
    b. 確認するアプリケーションをクリックします。アプリケーションが読み込まれる場合、URL が既に HTTPS を使用するように設定されていることを意味します。アプリケーションがプレビューアに読み込まれない場合は、キャンバスアプリケーションの URL とコールバック URL を更新して HTTPS を使用します。
     
    Canvas 接続アプリケーションを HTTPS に更新するには:

    a. Salesforce Classicで、[設定] | [作成] | [アプリケーション] をクリックします。
    b. 更新する Canvas 接続アプリケーションを選択します。
    c. [キャンバスアプリケーション URL] 項目で、URL を更新して HTTPS を使用します。
    d. [コールバック URL] 項目で、HTTPS を使用するように URL を更新します。
    e. [保存] をクリックします。
    f. [キャンバスアプリケーションのプレビューア] に戻り、アプリケーションが期待どおりに開くことを確認します。

    注: HTTPS URL に初めて移動したときは、タブを閉じてから再度開き、ブラウザの履歴をクリアします。
     

    LiveMessage 管理パッケージをアップグレードする
     
    他の機能と同様に LiveMessage (Salesforce Classic) では、組織のセキュリティ設定で [セキュアな接続 (HTTPS) が必要] および [すべてのサードパーティドメインでセキュアな接続 (HTTPS) が必要] が必要です。

    Chrome 80 リリースは、管理パッケージのバージョン 4.46 以降でサポートされています。組織に古いバージョンがインストールされている場合は、ここから最新バージョンにアップグレードしてください。

     

    2. インテグレーションによって所有・設定される Cookie に依存するカスタム Salesforce インテグレーションをテストする

    Chrome 84 のリリース前に、インテグレーションによって所有・設定される Cookie に依存するカスタム Salesforce インテグレーションをテストしてください。Sandboxでテストします。不具合が見つかった場合は、クロスドメイン通信に使用される Cookie の SameSite 属性を更新して、明示的に SameSite=None; Secure に設定します。Apex で Cookie を設定する場合は、 Cookie() コンストラクタメソッドの新しい SameSite 属性を使用します。

    こちらの Chromium ブログ投稿では、Chrome が SameSite の変更を公開する前に、サイトまたは Cookie に対する新しい Chrome の動作の影響をテストする方法について説明しています。 chrome:// flags に移動し、「SameSite by default cookies」と「Cookies without SameSite must be secure」というテストを有効にします。Spring '20 の修正は、Chrome 78 以降に適用されます。

    注意: Cookie をテストする際には、それぞれの Cookie の安全性に最も効果が高い SameSite 値はどれかを判別してください。Cookie がファーストパーティのコンテキストでのみアクセスされるように意図されている場合、SameSite=Lax または SameSite=Strict を適用して外部アクセスを遮断できます。SameSite=Lax を明示的に設定することは、ブラウザのデフォルト動作に依存しないことを意味します。

    Chrome 80 以降のみがデフォルトで SameSite=Lax を設定します。 Chrome 80 のリリース後にインテグレーションで問題が発生した場合、修正を実装する際に、影響を受けないブラウザ、モバイルアプリケーション、または古いバージョンの Chrome を一時的に使用できます。


    Lightning Experience や Salesforce Classic のセールスやサービスへの影響:

    弊社は、Web 全体のプライバシーとセキュリティを改善するための継続的な取り組みをサポートしています。Salesforce は、Salesforce によって設定された Cookie の SameSite 属性を更新しました。Spring '20 で修正を行い、その修正は Chrome 78 以降に適用されます。

    弊社は Sandbox 組織において最新バージョンの Chromeでテストすることをお勧めいたします。新しい情報が入り次第、この記事を更新する予定です。 


    B2C Commerce への影響:

    B2C Commerce のドキュメントを参照してください。
     

    B2B Commerce への影響:

    B2B Commerce への影響については、こちらのナレッジ記事 (英語) を参照してください。

     

    Marketing Cloud への影響:

    Marketing Could のこちらのナレッジ記事を参照してください。


    Pardot Web トラッキングへの影響:

    Pardot のこちらのナレッジ記事を参照してください。

     

    Tableau への影響

    Tableau のナレッジ記事 (英語) を参照してください。


    リソース

    ナレッジ記事番号

    000381201

     
    読み込み中
    Salesforce Help | Article