Chrome 80が密かに呼び寄せる地獄 ～ SameSite属性のデフォルト変更を調べてみた - Qiita

図にすると以下のようになります。 Strict 外部サイトからのアクセスではCookieを送らない。 Lax 外部サイトからのアクセスはGETリクエストのときだけCookieを送る。 None 従来通りの動き。 【追記】なおChrome 80以降でSecure属性を付けずSameSite=Noneを指定した場合、set-cookie自体が無効になります。 セキュリティ上の効果 CSRF対策になります。 CSRF (クロスサイト・リクエスト・フォージェリ) とは、 WEBサイトがユーザー本人の意図した動作であることを検証していないためにおこる脆弱です。 たとえば会員の退会ページを https://example.com/mypage/delete/で用意し、 ボタン操作でsubmit=1が送信されて退会処理が実行される仕様の場合、 パラメータが誰でもわかるので、外部に用意された悪意のあるフォ

[memoyashi]

分かりやすくまとめてある。ありがとうございます

[quabbin]

これなぁ。面白いのは、doubleclickのcookieもSameSite属性がNoneでSecureがoffになってるのよね。移行悩ましいんだろうな

[T-miura]

まあ、“CSRF”が楽に防げる話なので、いい話じゃね？

[ockeghem]

中途半端に古いブラウザに対応する手間を考えるとこれは確かに地獄だ

[tettekete37564]

CSRF 対策としてはごく限定的であるにもかかわらず、ちゃんと CSRF 対策やっているサイトが金銭的被害を被るのをヨシとするのが Google か。RFC6265bis-03 も Google がオーサーで我田引水で酷い。

[uunfo]

Chromium利用のEdgeもすでにLaxになっているっぽい。Firefoxはまだβユーザーのみか。PHPのsession.cookie_samesiteは7.3.0以降のみ。

[paradisemaker]

これ結構エグいな

[uzulla]

気軽にstrictするとOpenIdやOAuthもうごかんからな…。

[web-engineer]

ITP周り

[ginpei]

元々あったCSRF対策、CookieのSameSite属性。Chrome 80から初期値が強化され、ファーストパーティも含めCookieが飛ばない場合がある。外部決済サービスから戻ってくるような遷移が該当。

[tmatsuu]

どういうシーンで困るかの具体例もあってよい。

[igrep]

“こういった外部サービスとの連携処理がエラーになります。 ECサイトであれば注文ができないことになるので損失が出る可能性が”

[secseek]

最近は開発をやってないので関係ない話ではあるんですが、ファーストパーティCookieは関係ないと思い込んでました。他サイトから遷移してきてファーストパーティCookieを送信するパターンがあり得るんですね

[ANNotunzdY]

“iOS 12とmacOS 10.14のSafariでは SameSiteにNoneもしくは無効な値を指定するとStrictとして扱われるバグがあります。”

[rryu]

SAMLでAuthnRequest IDの検証をしようとするとSP側で状態を持つ必要があって、SSOで大規模な地獄が発生しそう。

[sandalot]

“)”

[enemyoffreedom]

何だそりゃと思ったが、なるほど半ば強制的なCSRF対策か。ただ影響範囲は大きそう

[mirai-iro]

当初の対応期限になってから騒ぎ出すとかちょっと、しかもここに書いてあることGoogle開発者ブログとほぼ同じというかiOS12で問題発生するという情報が欠落してるし、キータなんかより一次情報を見たほうがいい

[deokisikun]

おんやぁ🤔

[shogo_okamoto]

わかりやすかったです。

[cs_sonar]

いいまとめ！サードパーティ製クッキーをブロックという内容で結構混乱してた。外部からpostしてきた時にクッキーを送信しない、と言った方がわかりやすいよね。

[mak_in]

コレ、つい最近仕事でも調べた。 某PKGのSSOが完全に動作しなかった。認証は通るんだけど、アクセス時のURLをcookieに持つ作りだったせいで、必ずトップページにリダイレクトする、という。動作確認するしかない。

[yarumato]

“導入理由：セキュリティ。CSRFとは、ログイン状態で悪意あるフォームを開くと意図せず退会など。SameSite属性変更により（POSTや画像読込では）Cookieの識別情報をユーザー本人に紐付けしない（GETならCookie使用）”

[shunt_i]

CSRF

[nonono-notch]

CSRF

[wwolf]

これは影響ありそう

[endok]

ちょうど社内で先週ざわざわし始めたところ。外部サービスからPOSTで遷移してきた場合にセッションCookie受け取れないのはしんどい。

[mitaro]

金曜日社内がざわざわしてたのこれか……？

[u1tnk]

これ普通にエラーになるケースあるよなぁ…うーん

[y___u]

これなー、CLBのStickySessionでAWSELB以外のCookie使ってCORSしてると影響あるんだよなあ

[shikiarai]

機能としては分かるのでまさかCookie使わんやろとしか言えないが、、

[tosebro]

個人的に機能として肯定的に見てるけど、決済とかで外部サービスに行って戻ってくるサイトに混乱を招くと予想してる。