Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む

FireFox は、SameSite Cookie の動作を変更し、Salesforce インテグレーションに影響を与える可能性があります

公開日: Oct 13, 2022
説明
Firefox は、Cookie のデフォルトのクロスドメイン (SameSite) 動作を変更します。SameSite の変更により、セキュリティとプライバシーが強化されますが、お客様とパートナー様は Cookie に依存するカスタム Salesforce インテグレーションをテストする必要があります。Firefox 79 (2020 年 6 月) 以降、Mozilla はFirefox ベータユーザの 50% に SameSite の動作変更を公開しました。

Cookie の SameSite 属性は、クロスドメインの挙動を制御します。 SameSite 属性が指定されていない場合、Firefox はデフォルトで Cookie を  SameSite=Lax として設定します。以前のバージョンの Firefox では、デフォルトは SameSite=None でした。 この変更後も、開発者は、 SameSite=None; Secure を明示的に設定することにより、開発者は現状の制限のない使用を続けることができます。

この MozillaHacks ブログ投稿では、SameSite 属性の変更の意図について説明しています。

「Currently, the absence of the SameSite attribute implies that cookies will be attached to any request for a given origin, no matter who initiated that request. This behavior is equivalent to setting SameSite=None. However, this “open by default” behavior leaves users vulnerable to Cross-Site Request Forgery (CSRF) attacks. In a CSRF attack, a malicious site attempts to use valid cookies from legitimate sites to carry out attacks.」

(現在、SameSite 属性がないということは、元のリクエストを誰が開始したかに関係なく、そのリクエストに Cookie が添付されることを意味します。この動作は、SameSite = None を設定するのと同じです。ただし、この「デフォルトで開く」動作により、ユーザは Cross-Site Request Forgery (CSRF) 攻撃に対して脆弱になります。 CSRF 攻撃では、悪意のあるサイトが正当なサイトからの有効な Cookie を使用して攻撃を実行しようとします。)


詳細については、Mozilla Hacks ブログ投稿を参照してください。

昨年、Google Chrome は同じ SameSite の変更を実施しました。Microsoft Edge は、SameSite の Cookie の動作も変更しています。これについては、このナレッジ記事で詳しく説明しています。


Firefox SameSite の変更はいつ公開されますか?

この Mozilla Hacks のブログ投稿は、SameSite の変更をすべてのユーザにリリースするための計画がないことを示しています。Firefox 79 (2020 年 6 月) 以降、Mozilla は SameSite の変更を Firefox ベータユーザの 50% に公開しました。 Mozilla は、サイトが新しいデフォルトの動作に適応したかどうかの指標として、最初に被害の範囲を監視したいと考えています。

変更された SameSite の動作は、Nightly 75 (2020 年 2 月) 以降、Firefox Nightly で公開されています。

Firefox が SameSite の変更をいつ公開しても、Salesforce は SameSite の変更に対応できます。 この変更に備えて組織をまだ準備していない場合は、この記事全体を閲覧し、追加情報を確認してください。
解決策
この変更による影響:

これらの FireFox の SameSite の変更により、組織に変更を加える必要がある場合があります。

1. Cookie は、組織のコミュニティ、ポータル、サイト、Outlook または Gmail インテグレーションなどを含む非セキュアな (HTTP) ブラウザアクセスでは機能しません。 代わりに HTTPS を使用してください。
2. Cookie に依存するカスタムインテグレーションは、Firefox では機能しなくなる可能性があります。この変更は、クロスドメイン通信、および iframe を使用したインテグレーションに特に影響しますが、これらに限定されません。
 

必要な対応:

1. HTTP の代わりに HTTPS を使用する

組織で HTTPS アクセスを必要とするには、[設定] メニューで下記のセッションの設定が有効になっていることを確認します。これらの設定はデフォルトで有効になっていますが、組織で HTTPS が必要であることを確認する必要があります。

[設定] から、クイック検索ボックスに「セッションの設定」と入力し、[セッションの設定] を選択します。
 

セキュアな接続 (HTTPS) が必要

 

Salesforce にログインまたはアクセスするために HTTPS が必要かどうかを決定します。

2020 年 5 月 1 日に、Salesforce にアクセスするために HTTPS 接続を必要とする「セキュアな HTTPS 接続が必要」重要な更新を実施しました。



すべてのサードパーティドメインでセキュアな接続 (HTTPS) が必要

サードパーティドメインへの接続に HTTPS が必要かどうかを決定します。


これらの設定のいずれかが無効になっている場合、SameSite の変更が公開された後、Firefox ユーザに機能の中断が生じる可能性があります。
 

コミュニティ、ポータル、またはサイトで HTTPS アクセスを必要とする場合:

a. [設定] からクイック検索ボックスに「サイト」と入力し、[サイト] を選択します。
b. 編集したいサイトをクリックし、[セキュアな接続 (HTTPS) が必要] チェックボックスが選択されていることを確認します。
 

Winter ’21 では、認証されたリクエストに対して HTTP 接続が許可されなくなったため、この設定を削除しました。 詳細については、リリースノートを参照してください。



Salesforce Classic Canvas 接続アプリケーションがHTTPS で動作するかどうかを確認するには:

a. Salesforce Classicの[設定]から、クイック検索ボックスに「キャンバスアプリケーションのプレビューア」と入力し、[キャンバスアプリケーションのプレビューア] を選択します。
b. 確認するアプリケーションをクリックします。アプリケーションが読み込まれる場合、URL が既に HTTPS を使用するように設定されていることを意味します。アプリケーションがプレビューアに読み込まれない場合は、キャンバスアプリケーションの URL とコールバック URL を更新して HTTPS を使用します。

 
Canvas 接続アプリケーションを HTTPS に更新するには:

a. Salesforce Classicで、[設定] | [作成] | [アプリケーション] をクリックします。
b. 更新する Canvas 接続アプリケーションを選択します。
c. [キャンバスアプリケーション URL] 項目で、URL を更新して HTTPS を使用します。
d. [コールバック URL] 項目で、HTTPS を使用するように URL を更新します。
e. [保存] をクリックします。
f. [キャンバスアプリケーションのプレビューア] に戻り、アプリケーションが期待どおりに開くことを確認します。


注: HTTPS URL に初めて移動したときは、タブを閉じてから再度開き、ブラウザの履歴をクリアします。


 

LiveMessage 管理パッケージをアップグレードする
 

他の機能と同様に LiveMessage (Salesforce Classic) では、組織のセキュリティ設定で [セキュアな接続 (HTTPS) が必要] および [すべてのサードパーティドメインでセキュアな接続 (HTTPS) が必要] が必要です。

Firefox 82 リリースは、管理パッケージのバージョン 4.46 以降でサポートされています。組織に古いバージョンがインストールされている場合は、ここで最新バージョンにアップグレードしてください。


2. インテグレーションによって所有・設定される Cookie に依存するカスタム Salesforce インテグレーションをテストする

Firefox がすべてのユーザに対して SameSite の変更をリリースする前に、インテグレーションによって所有および設定された Cookie に依存するカスタム Salesforce インテグレーションをテストします。Sandboxでテストします。不具合が見つかった場合は、クロスドメイン通信に使用される Cookie の SameSite 属性を更新して、明示的に SameSite=None; Secure に設定します。Apex で Cookie を設定する場合は、 Cookie() コンストラクタメソッドの新しい SameSite 属性を使用します。

この Mozilla Hacks ブログ投稿では、Firefox が SameSite の変更を公開する前に、サイトまたは Cookie に対する新しい Firefox の動作の影響をテストする方法について説明しています。about:config に移動し、「Search Preference Name」バーに「SameSite」と入力します。 network.cookie.sameSite.laxByDefault と network.cookie.sameSite.noneRequiresSecure の両方を「true」に設定します。Winter '21 の修正は、Firefox 82 以降に適用されます。

注: Cookie をテストするときは、各 Cookie で機能する最も安全な SameSite 値を検討してください。 Cookie がファーストパーティのコンテキストでのみアクセスされることを意図している場合は、SameSite = Lax または SameSite = Strict を適用して、外部アクセスを防ぐことができます。SameSite = Lax を明示的に設定することは、デフォルトのブラウザの動作に依存しないことを意味します。

Firefox が SameSite の変更をリリースした後に統合で問題が発生した場合は、修正を実装する間、影響を受けていないブラウザ、モバイルアプリケーション、または古いバージョンの Firefox を一時的に使用できます。


Lightning Experience や Salesforce Classic のセールスやサービスへの影響:

弊社は、Web 全体のプライバシーとセキュリティを改善するための継続的な取り組みをサポートします。Salesforce は、Salesforce によって設定された Cookie の SameSite 属性を更新しました。

修正は Winter '21 で行われ、Firefox 82 以降に適用されます。 最新バージョンの Firefox を使用して Sandbox でテストすることをお勧めします。新しい情報が出てきたら、この記事を更新します。


リソース

ナレッジ記事番号

000389944

 
読み込み中
Salesforce Help | Article