Effetto sui siti Web dei clienti e sui servizi e prodotti Microsoft in Chrome versione 80 o successiva
Nota
In precedenza, questo articolo faceva riferimento alla versione 79 di Google Chrome Beta. Google ha in programma di rilasciare un comportamento dei cookie nella versione stabile 80 di Chrome. Chrome ha aggiornato la propria sequenza temporale di implementazione per indicare che questa modifica verrà introdotta in Chrome 80 a partire dalla settimana del 17 febbraio. Chrome 80 verrà reso disponibile il 4 febbraio e questa funzione sarà disabilitata per impostazione predefinita. La funzione sarà abilitata in base a una pianificazione graduale a partire dal 17 febbraio.
Riepilogo
La versione stabile del browser web Google Chrome (build 80, con rilascio previsto per il 4 febbraio 2020) introdurrà una modifica al comportamento predefinito dei cookie a partire dalla settimana del 17 febbraio. Sebbene la modifica abbia lo scopo di scoraggiare il monitoraggio dei cookie dannosi e proteggere le applicazioni Web, si prevede che influirà anche su molte applicazioni e servizi basati su standard aperti. Ciò include i servizi cloud Microsoft.
Si consiglia ai clienti aziendali di assicurarsi di essere preparati per il cambiamento e pronti a implementare procedure di mitigazione testando le loro applicazioni (sviluppate su misura o acquistate). Per altre informazioni, vedere la sezione "Raccomandazioni".
Microsoft intende affrontare questo cambiamento di comportamento nei suoi prodotti e servizi prima della data di rilascio di Chrome 80. Questo articolo illustra le linee guida di Microsoft e Google per l'installazione dei vari aggiornamenti necessari per prodotti e raccolte e le linee guida per le verifiche e la preparazione. Tuttavia, è altrettanto importante testare le proprie applicazioni rispetto a questo cambiamento nel comportamento di Chrome e, se necessario, preparare i propri siti Web e applicazioni Web.
Effetto sulle applicazioni dei clienti
Nota
Se non è possibile rivedere le autorizzazioni quando si cerca di attivare una sandbox di Microsoft Learn, Cancellare dati di navigazione passando a chrome://settings/clearBrowserData
.
Tutti i servizi cloud Microsoft vengono aggiornati per soddisfare i nuovi requisiti di Chrome, ma alcune altre applicazioni potrebbero essere ancora interessate. Controllare la sezione "Raccomandazioni" per alcuni prodotti server che richiederanno l'aggiornamento da parte dei clienti.
È necessario testare accuratamente tutte le applicazioni utilizzando Chrome Beta versione 80 per verificare l'effetto di questa modifica. Prevediamo che problemi simili a quelli descritti in questo articolo interesseranno le vostre applicazioni. Questo vale soprattutto per le applicazioni che utilizzano qualsiasi piattaforma web o tecnologia che si basa sulla condivisione di cookie tra domini, come le applicazioni che sono incorporate in altre applicazioni.
Le versioni beta 78 e 79 di Chrome contengono un miglioramento che ritarda SameSite:Lax
l'imposizione dell'attributo per due minuti. Tuttavia, l'utilizzo di queste versioni per i test potrebbe mascherare altri problemi. Pertanto, consigliamo di eseguire il test utilizzando la versione 80 di Chrome attivando flag specifici. Ciò può aiutare almeno a scoprire gli effetti, in modo da poter determinare il piano d'azione migliore. Per altre informazioni, vedere la sezione "Linee guida per la verifica".
Il browser Microsoft Edge su Chromium (versione 80) non sarà interessato da queste modifiche SameSite. È possibile leggere la documentazione di Edge per consultare il piano attuale di adattamento per questa modifica.
Consigli
I clienti Microsoft che utilizzano Active Directory Federation Services (AD FS) o Web Application Proxy devono distribuire uno dei seguenti aggiornamenti di Windows Server:
Prodotto | Articolo della Microsoft Knowledge Base | Data di rilascio |
---|---|---|
Windows Server 2019 | Articolo della Knowledge Base 4534273 | martedì 14 gennaio 2020 |
Windows Server 2016 | Articolo della Knowledge Base 4534271 | martedì 14 gennaio 2020 |
Windows Server 2012 R2 | Articolo della Knowledge Base 4534309 | martedì 14 gennaio 2020 |
È necessario aggiornare anche i seguenti prodotti server o client Microsoft. Gli aggiornamenti verranno aggiunti a questo articolo quando saranno disponibili. Consigliamo di visitare regolarmente questo articolo per ricevere gli ultimi aggiornamenti.
Prodotto | Articolo della Microsoft Knowledge Base | Data di rilascio |
---|---|---|
Exchange Server 2019 | Articolo della Knowledge Base 4537677 | martedì 17 marzo 2020 |
Exchange Server 2016 | Articolo della Knowledge Base 4537678 | martedì 17 marzo 2020 |
Project Server 2013 | Articolo della Knowledge Base 4484360 | martedì 12 maggio 2020 |
Project Server 2010 | Articolo della Knowledge Base 4484388 | martedì 12 maggio 2020 |
SharePoint Foundation 2013 |
Articolo della Knowledge Base 4484364 (Aggiornamento cumulativo: articolo della Knowledge Base 4484358)1 |
martedì 12 maggio 2020 |
SharePoint Foundation 2010 | Articolo della Knowledge Base 4484386 | lunedì 27 aprile 2020 |
SharePoint Server 2019 | Articolo della Knowledge Base 4484259 | martedì 11 febbraio 2020 |
SharePoint Server 2016 | Articolo della Knowledge Base 4484272 | martedì 10 marzo 2020 |
SharePoint Server 2013 | Articolo della Knowledge Base 4484362 | martedì 12 maggio 2020 |
SharePoint Server 2010 | Articolo della Knowledge Base 4484389 | martedì 12 maggio 2020 |
Skype for Business Server 2019 |
Articolo della Knowledge Base 4549672 (Aggiornamento cumulativo: Articolo della Knowledge Base 4582629)1 |
Aggiornamento cumulativo di settembre 2020 (CU 4) |
Skype for Business Server 2015 |
Articolo della Knowledge Base 4549672 (Aggiornamento cumulativo: Articolo della Knowledge Base 4558387)1 |
Aggiornamento cumulativo di maggio 2020 (CU 11) |
Nota
1 Questo aggiornamento cumulativo contiene la correzione per il problema del cookie SameSite, oltre a correzioni aggiuntive non correlate al problema del cookie SameSite. Microsoft consiglia di installare l'aggiornamento cumulativo anziché il singolo aggiornamento per garantire che l'ambiente disponga di tutte le correzioni disponibili al momento del rilascio dell'aggiornamento cumulativo.
È necessario testare le applicazioni per tutti i seguenti scenari e determinare il piano appropriato in base all'esito dei test:
- La tua applicazione non è interessata dalle modifiche di SameSite. In questo caso, non c'è alcuna azione da intraprendere.
- La tua applicazione è interessata, ma gli sviluppatori di software possono apportare la modifica in tempo per utilizzare l'impostazione del cookie SameSite:None. In questo caso, dovresti modificare la tua applicazione seguendo le indicazioni dello sviluppatore nella sezione "Linee guida per i test".
- La tua applicazione è interessata ma non può essere modificata in tempo. Per i siti interni, l'applicazione può essere esclusa dal comportamento di applicazione di SameSite in Chrome utilizzando l'impostazione LegacySameSiteCookieBehaviorEnabledForDomainList.
Se i clienti aziendali scoprono che la maggior parte delle app è interessata o se non hanno abbastanza tempo per testarle prima del rilascio graduale della funzionalità a partire dal 18 febbraio, sono incoraggiati a disabilitare il comportamento SameSite nei computer che governano. Possono farlo usando Criteri di gruppo, System Center Configuration Manager o Microsoft Intune (o qualsiasi software di gestione dei dispositivi mobili) finché non possono verificare che il nuovo comportamento non interrompa gli scenari di base nelle app.
Google ha rilasciato i seguenti controlli aziendali che possono essere impostate per disabilitare il comportamento di applicazione SameSite in Chrome:
- LegacySameSiteCookieBehaviorEnabled, che abilita o disabilita questa modifica.
- LegacySameSiteCookieBehaviorEnabledForDomainList, che consente a Chrome di disabilitare questo criterio su domini specifici.
Per i clienti aziendali che sviluppano le proprie applicazioni in .NET Framework, è consigliabile aggiornare le librerie e impostare intenzionalmente il comportamento di SameSite per evitare risultati imprevedibili causati dalla modifica del comportamento dei cookie. Per effettuare questa operazione, consulta l'articolo della Microsoft Knowledge Base riportato di seguito:
Prossime modifiche ai cookie SameSite in ASP.NET e ASP.NET Core
Inoltre, consulta il seguente articolo del blog di Google Chromium che fornisce indicazioni per gli sviluppatori su questo problema:
Sviluppatori: Preparati per il nuovo SameSite=None; impostazioni sicure dei cookie
I clienti che hanno siti interessati, con un impatto sui consumatori o sugli utenti che non sono coperti dalle loro politiche aziendali, devono chiedere a tali utenti di utilizzare un browser diverso (Edge, Firefox, Internet Explorer) o illustrare come disabilitare le impostazioni in Chrome (come mostrato nella sezione successiva) mentre sistemano le loro applicazioni.
Linee guida per i test
Google ha pubblicato questa guida affinché gli sviluppatori si preparino alle modifiche di SameSite. Inoltre, ti consigliamo di testare i siti Web e le app utilizzando il seguente approccio.
Utilizza Chrome Beta versione 80 per testare gli scenari:
Scarica Chrome Beta versione 80:
- Per Windows a 64 bit: Canale beta per Windows (64 bit)
- Per Windows a 32 bit: Canale beta per Windows (32 bit)
Avvia Chrome utilizzando il seguente contrassegno aggiuntivo della riga di comando:
--enable-features=SameSiteDefaultChecksMethodRigorously
Abilita i contrassegni SameSite. Per farlo, digita chrome://flags nella barra degli indirizzi, cerca SameSite, quindi seleziona Abilitato per le seguenti opzioni.
Ulteriori informazioni
La comunità web sta lavorando a una soluzione per affrontare l'uso abusivo dei cookie di tracciamento e la falsificazione delle richieste tra siti attraverso uno standard noto come SameSite.
Il team di Chrome aveva annunciato l'intenzione di implementare un cambiamento nel comportamento predefinito della funzionalità SameSite a partire da una versione di Chrome 78 Beta il 18 ottobre 2019. Questa implementazione verrà spostata alla versione 80 di Chrome il 4 febbraio 2020. Questa modifica aiuta a migliorare la sicurezza web. Tuttavia, interrompe anche i flussi di autenticazione basati sullo standard OpenID Connect. Pertanto, i modelli di autenticazione consolidati non funzioneranno.
Controllo della versione di Chrome
Se sospetti che i tuoi utenti stiano utilizzando una versione 76 di Chrome o successiva con SameSite abilitato, puoi controllare il numero di versione accedendo a chrome://settings/help
o selezionando l'icona delle impostazioni di Chrome, quindi selezionando Aiuto>Informazioni su Google Chrome.
Per le versioni 77-79 di Chrome, vai a chrome://flags
per vedere se hanno i contrassegni abilitati. L'impostazione predefinita inizierà a cambiare nella versione 80 di Chrome con rilasci graduali.
Dichiarazione di non responsabilità sulle informazioni di terze parti
I prodotti di terzi citati in questo articolo sono prodotti da società indipendenti da Microsoft. Microsoft non rilascia alcuna garanzia implicita o esplicita relativa alle prestazioni o all'affidabilità di tali prodotti
Dichiarazione di non responsabilità di contatti di terze parti
Microsoft fornisce informazioni di contatto di terze parti allo scopo di facilitare l'individuazione del supporto tecnico. Queste informazioni di contatto sono soggette a modifica senza preavviso. Microsoft non garantisce la precisione delle informazioni di contatto di terzi.