Loading

Google Chrome 브라우저 릴리스 84는 SameSite Cookie의 동작을 변경하여 Salesforce Integration에 영향을 줄 가능성이 있습니다

게시 일자: Oct 13, 2022
상세 설명
Chrome은 2020년 7월 14일 Chrome 84의 안정판 릴리스에 맞춰 Cookie 기본 크로스 도메인(SameSite) 동작을 변경하고 Chrome 80 이후에 적용을 활성화합니다.
SameSite의 변경은 Chrome 80 의 릴리스와 함께 2020년 2월에 시작되었지만, Google은 2020년 여름까지 SameSite 변경 사항을 일시적으로 롤백했습니다.
SameSite의 변경은 보안과 개인정보 보호를 강화하지만 고객과 파트너는 쿠키에 의존하는 사용자 정의 Salesforce Integration을 테스트 해야 합니다.

쿠키의 SameSite 속성은 크로스 도메인 동작을 제어합니다. 여기 Chrome Platform Status에 SameSite 속성의 목적이 설명되어 있습니다.
“SameSite는 일부 크로스 사이트의 교차 사이트 요청 위조(CSRF) 공격에 대해서 상당히 강력한 방어 수단이지만, 현행에서, 개발자들은 SameSite 속성을 지정해 보호를 명시적으로 지정 할 필요가 있습니다. 다시말해, 개발자는 기본적으로 CSRF 공격에 취약한 상태입니다. 이 변경을 통해 개발자는 기본적으로도 보호가 확보되며, 크로스 사이트 요청에서 상태를 지정해야하는 사이트에서는 현재의 안전성이 낮은 모델을 그대로 사용할 수 있게 됩니다."

Samesite 속성을 지정하지 않으면 Chrome 84 릴리스에서는 Cookie 가 기본적으로 SameSite=Lax 로 설정됩니다. Chrome 84 이전 릴리스에서는 기본값이 SameSite=None으로 설정되어 있습니다. 명시적으로 SameSite=None; Secure 를 지정하면, 개발자는 현재의 제한이 없는 사용을 계속할 수 있습니다.

자세한 정보는 이 Chromium 블로그 게시물을 참조하십시오.
 

Chrome SameSite 의 변경 사항은 언제 공개되나요?

Google's SameSite 업데이트 페이지에서는 SameSite의 변경이, 2020년 7월 14일 Chrome 84의 안정판 릴리스로 이루어지며, Chrome 80 이후에 시행된다고 보여지고 있습니다.

당초 Google은 2020년 2월 17일부터 최초의 한정된 사용자에 대해 Chrome 80 안정 릴리스로 변경을 시작했습니다. 코로나19로 인한 비정상적인 세계적 상황 때문에 Google은 2020년 여름까지 SameSite 변경을 일시적으로 롤백했습니다.

Google은 문제가 조기에 검출되고 모든 사용자에게 제공되기 전에 대처할 수 있도록 Chrome과 개별 기능의 안정적인 릴리스 지연을 계획하고 있습니다.

Salesforce는 Google이 언제 릴리스하더라도 SameSite 변경에 대응할 준비가 되어 있습니다. 2020년 2월에 Google의 첫 번째 SameSite 롤아웃 준비를 하기 위해 귀사 조직을 변경하고 테스트한 경우에는, 준비도 되어 있으며 더 이상 할 일이 없습니다. 이 변경에 대비하여 조직을 준비하지 않은 경우, 이 자료에서 자세한 내용을 확인하십시오.
 

    솔루션

    이 변경에 의한 영향:

    Google Chrome에 의한 SameSite의 변경에는 조직에서의 변경이 필요할 수 있습니다.

    1. Cookie 는 조직의 커뮤니티, 포털, 사이트, Outlook 또는 Gmail 인테그레이션 등을 포함하는 비시큐어(HTTP) 브라우저 액세스에서는 기능하지 않습니다. 대신 HTTPS를 사용하십시오.
    2. Cookie 에 의존하는 커스텀 인테그레이션은 Google Chrome에서는 기능하지 않게 될 가능성이 있습니다. 이 변경은 크로스 도메인 통신 및 iframe을 사용한 통합에 특히 영향을 미치지만 이에 국한되지 않습니다.


    필요한 대응:

    1. HTTP 대신 HTTPS를 사용하기
    조직에서 HTTPS 액세스를 필요로 하려면 [설정] 메뉴에서 아래 세션의 설정이 활성화되어 있는지 확인합니다. 이러한 설정은 기본적으로 활성화되어 있지만 조직에서 HTTPS가 필요한 것을 확인할 필요가 있습니다.

    [설정] 에서 빠른 찾기 검색 상자에 '세션 설정'을 입력한 후 [세션 설정]을 선택합니다.

    안전한 접속(HTTPS)이 필요
    Salesforce 로그인 또는 Salesforce 접속에 HTTPS가 필요한지 여부를 결정합니다.
    Spring'20에서 Salesforce 접속에 HTTPS 접속을 필요로 하는 'Require Secure HTTPS Connections(시큐어한 HTTPS 접속이 필요)'라는 중요한 갱신을 추가했습니다.

    모든 서드파티 도메인에서 안전한 연결(HTTPS) 필요
    서드파티 도메인에 대한 접속에 HTTPS가 필요한지를 결정합니다.

    이러한 설정 중 하나가 비활성화되어 있는 경우, Chrome 80의 릴리스 후, Chrome 사용자에 대해서 Salesforce가 완전히 기능하지 않을 가능성이 있습니다.

    커뮤니티, 포털 또는 사이트에서 HTTPS 액세스를 필요로 하는 경우:
    a. [설정]에서 빠른 찾기 검색 상자에 [사이트]라고 입력한 후 [사이트]를 선택합니다.
    b. 편집하고 싶은 사이트를 클릭한 후 [안전한 연결(HTTPS)이 필요] 체크 박스가 선택되어 있는지 확인합니다.

    Salesforce Classic Canvas 연결 어플리케이션이 HTTPS에서 동작하는지 확인하려면:
    a. Salesforce Classic의 [설정]에서 빠른 검색 상자에 [캔버스 응용 프로그램 미리보기]를 입력한 후 [캔버스 응용 프로그램 미리보기] 를 선택합니다.
    b. 확인할 응용 프로그램을 클릭합니다.응용 프로그램이 읽힐 경우 URL이 이미 HTTPS를 사용하도록 설정되어 있음을 의미합니다.응용 프로그램이 미리 보기에 읽히지 않으면 캔버스 응용 프로그램 URL과 콜백 URL을 업데이트하여 HTTPS를 사용합니다.
     
    Canvas 연결 애플리케이션을 HTTPS로 갱신하려면 :
    a. Salesforce Classic에서 [설정] | [작성] | [어플리케이션]을 클릭합니다.
    b. 업데이트할 Canvas 연결 응용 프로그램을 선택합니다.
    c. [캔버스 애플리케이션 URL] 항목에서 URL을 갱신하고 HTTPS를 사용합니다.
    d. [콜백 URL] 항목에서 HTTPS를 사용하도록 URL을 업데이트합니다.
    e. [저장]을 클릭합니다.
    f. [캔버스 애플리케이션 미리보기]로 돌아가서 애플리케이션이 정상적으로 열리는 것을 확인합니다.
    참고: HTTPS URL로 처음 이동했을 때는, 탭을 닫고 다시 열어 브라우저 기록을 지웁니다.
     
    LiveMessage 관리 패키지 업그레이드하기
    다른 기능과 마찬가지로 LiveMessage (Salesforce Classic)에서는 조직 보안 설정에서 [안전한 연결(HTTPS)이 필요] 및 [모든 서드파티 도메인에서 안전한 연결(HTTPS) 필요] 필요합니다.

    Chrome 80 릴리스는 관리 패키지 버전 4.46 이후에서 지원됩니다. 조직에 이전 버전이 설치되어 있는 경우는, 여기에서 최신 버전으로 업그레이드해 주세요.

     
    2. 인테그레이션에 의해 소유/설정되는 쿠키에 의존하는 커스텀 Salesforce 인테그레이션을 테스트

    Chrome 84의 릴리스 전에, 인테그레이션에 의해 소유·설정되는 쿠키에 의존하는 커스텀 Salesforce 인테그레이션을 테스트해 주시기 바랍니다. Sandbox로 테스트합니다. 버그 등이 발견되었을 경우는, 크로스 도메인 통신에 사용되는 Cookie의 SameSite 속성을 갱신하고, 명시적으로 SameSite=None; Secure 로 설정합니다. Apex에서 Cookie를 설정하는 경우는, Cookie() 컨스트럭터 메소드의 새로운 SameSite 속성을 사용합니다.

    이 Chromium 블로그 게시물에서는 크롬이 SameSite의 변경을 공개하기 전에 사이트 또는 쿠키에 대한 새로운 크롬 동작의 영향을 테스트하는 방법에 대해 설명하고 있습니다. chrome://flags 로 이동하여 "SameSite by default cookies"와 "Cookies without SameSite must be secure" 라고 하는 테스트를 유효하게 합니다. Spring'20 수정은 Chrome 78 이후에 적용됩니다.

    참고 : 쿠키를 테스트 할 때 각각의 쿠키의 안전성에 가장 효과가 높은 SameSite 값은 어느 것인지 판별하십시오. 쿠키가 퍼스트 파티 컨텍스트에서만 액세스되도록 의도된 경우 SameSite=Lax 또는 SameSite=Strict를 적용하여 외부 액세스를 차단할 수 있습니다. SameSite=Lax를 명시적으로 설정하는 것은 브라우저의 기본 동작에 의존하지 않음을 의미합니다.

    Chrome 80 이후만이 디폴트로 SameSite=Lax 를 설정합니다. Chrome 80이 출시된 후 인테그레이션에 문제가 발생한 경우, 수정을 구현할 때 영향을 받지 않는 브라우저, 모바일 어플리케이션 또는 이전 버전의 Chrome을 일시적으로 사용할 수 있습니다.


    Lightning Experience 및 Salesforce Classic에서 Sales 및 Service에 어떠한 영향을 미칩니까?

    당사는 웹 전반에 걸쳐 개인 정보 보호 및 보안을 향상하기 위해 지속적으로 노력하고 있습니다. Salesforce는 Salesforce에 의해 설정된 쿠키의 SameSite 속성을 갱신했습니다. Spring'20에서 수정을 하고 그 수정은 Chrome 78 이후에 적용됩니다.

    당사는 Sandbox 조직에서 최신 버전의 Chrome으로 테스트하는 것을 권장합니다. 새로운 정보가 들어오는 대로 이 자료를 업데이트할 예정입니다.


    B2C Commerce 에의 영향:

    B2C Commerce의 쿠키 SameSite 특성 변경 사항 지원을 참고해주시기 바랍니다.
     

    B2B Commerce 에의 영향:

    B2B Commerce 의 Knowledge Article(영문)을 참고해주시기 바랍니다.

     

    Marketing Cloud 에의 영향:

    Marketing Could 의 Knowledge Article(영문)을 참고해주시기 바랍니다.


    Pardot Web Tracking 에의 영향:

    Pardot 의 Knowledge Article(영문)을 참고해주시기 바랍니다.
     

    Tableau 에의 영향:

    Tableau 의 Knowledge Article(영문)을 참고해주시기 바랍니다.


    참고자료

    Knowledge 기사 번호

    000381201

     
    로드 중
    Salesforce Help | Article