Loading

Выпуск обозревателя Google Chrome в феврале 2020 года изменяет поведение cookie-файла SameSite и может нарушить интеграции Salesforce

Дата публикации: Oct 1, 2020
Описание
Атрибут SameSite cookie-файла определяет его междоменное поведение. Предназначение атрибута SameSite см. здесь.
"SameSite — это достаточно надежная преграда против некоторых видов CSRF-атак, но в настоящее время ее защитные функции должны быть включены разработчиками путем настройки атрибута SameSite. Другими словами, разработчики подвергаются CSRF-атакам по умолчанию. Данное изменение позволяет защитить разработчиков по умолчанию, а также разрешает сайты, требующие от межсайтовых запросов согласие на текущую менее безопасную модель."

Если атрибут SameSite не указан, то выпуск Chrome 80 задает cookie-файлам значение SameSite=Lax по умолчанию. Ранее по умолчанию использовалось значение SameSite=None. Текущее неограниченное использование может быть задано разработчиками с помощью SameSite=None; Secure.

Дополнительную информацию см. здесь.

Сроки внедрения выпуска Chrome 80 см. здесь.


Что это значит?

1. Cookie-файлы не будут работать при небезопасном доступе к обозревателю (HTTP). Взамен, рекомендуем использовать HTTPS.
2. Любые настраиваемые интеграции, зависящие от cookie-файлов, могут прекратить свою работу в Google Chrome. Данное изменение особенно влияет на настраиваемую единую регистрацию и интеграции с использованием элементов iframe, но не ограничивается ими.


Что необходимо сделать?

До внедрения выпуска Chrome 80 рекомендуем протестировать любые настраиваемые интеграции Salesforce, зависящие от cookie-файлов, которые принадлежат и задаются используемой интеграцией. При обнаружении любой регрессии рекомендуем задать атрибуту SameSite cookie-файлов, используемых для междоменного взаимодействия, значение SameSite=None; Secure.

Данная страница поясняет порядок тестирования последствий нового поведения Chrome для используемого сайта или управляемых cookie-файлов путем ввода строки chrome://flags в обозревателе Chrome 76 или более поздней версии и включения флажков "SameSite by default cookies" и "Cookies without SameSite must be secure".

Примечание. При тестировании cookie-файлов рекомендуем определить для каждого cookie-файла наиболее безопасное значение SameSite. Если cookie-файл должен использоваться только в контексте основного, то значение SameSite=Lax или SameSite=Strict позволяет избежать внешнего доступа. Значение SameSite=Lax указывает на отсутствие зависимости от стандартного поведения обозревателя.


Что это значит для Sales и Service в Lightning Experience и Salesforce Classic?

Компания Salesforce непрерывно работает над повышением конфиденциальности и безопасности в Интернете. Решение известных проблем в отношении атрибута SameSite для cookie-файлов, заданных Salesforce, запланировано на выпуск Winter'20. Данная статья будет обновляться по мере появления любой новой информации.


Что это значит для B2C Commerce?

Инструкции по подготовке к изменению SameSite для обозревателя Chrome см. здесь.


Ресурсы

Номер статьи базы знаний

000381201

 
Загрузка
Salesforce Help | Article