Effetto sui siti Web dei clienti e sui servizi e prodotti Microsoft in Chrome versione 80 o successiva

Nota

Office 365 ProPlus viene rinominato in Microsoft 365 Apps for enterprise. Per ulteriori informazioni su questa modifica, leggere questo post di blog.

Nota

In precedenza, questo articolo fa riferimento a Google Chrome Beta versione 79. Google è pianificato per rilasciare un comportamento di cookie in Chrome Stable versione 80. Chrome ha aggiornato la sequenza temporale di implementazione per indicare che questa modifica verrà implementazione in Chrome 80 a partire dalla settimana del 17 febbraio. Chrome 80 verrà spedito il 4 febbraio e questa funzionalità è disabilitata per impostazione predefinita. La funzionalità verrà abilitata in base a una pianificazione graduale a partire dal 17 febbraio.

Riepilogo

La versione Stable del web browser Google Chrome (build 80, prevista per il rilascio il 4 febbraio 2020) implementazione di una modifica al comportamento predefinito dei cookie a partire dalla settimana del 17 febbraio. Anche se la modifica ha lo scopo di scoraggiare il rilevamento dei cookie dannosi e proteggere le applicazioni Web, è previsto che influisca anche su molte applicazioni e servizi basati su standard aperti. Sono inclusi i servizi cloud Microsoft.

I clienti aziendali sono invitati a assicurarsi che siano pronti per la modifica e siano pronti a implementare le mitigazioni testando le applicazioni (sviluppate o acquistate su base personalizzata). Per ulteriori informazioni, vedere la sezione "Suggerimenti".

Microsoft si impegna a risolvere questo cambiamento di comportamento nei propri prodotti e servizi prima della data di rilascio di Chrome 80. In questo articolo vengono illustrate le indicazioni di Microsoft e Google per l'installazione dei vari aggiornamenti necessari per prodotti e raccolte e le indicazioni per il testing e la preparazione. Tuttavia, è altrettanto importante testare le proprie applicazioni in base a questa modifica nel comportamento di Chrome e preparare i propri siti Web e applicazioni Web in base alle esigenze.

Effetto sulle applicazioni dei clienti

Tutti i servizi Cloud Microsoft vengono aggiornati per soddisfare i nuovi requisiti di Chrome, ma alcune altre applicazioni potrebbero comunque essere interessate. Controllare la sezione "Suggerimenti" per alcuni prodotti server che richiederanno l'aggiornamento da parte dei clienti.

È consigliabile testare accuratamente tutte le applicazioni utilizzando Chrome Beta versione 80 per verificare l'effetto di questa modifica. Si prevede che problemi simili a quelli descritti in questo articolo influiranno sulle applicazioni. Ciò vale soprattutto per le applicazioni che usano qualsiasi piattaforma Web o tecnologia che si basa sulla condivisione di cookie tra domini, ad esempio le app incorporate in altre app.

Le versioni 78 e 79 beta di Chrome hanno un miglioramento che ritarda l'applicazione dell'attributo SameSite:Lax per due minuti. Tuttavia, l'uso di queste versioni per i test può mascherare altri problemi. Pertanto, ti consigliamo di testare usando Chrome versione 80 con flag specifici abilitati. Questa operazione può, almeno, aiutare a individuare l'effetto in modo da poter determinare il piano migliore. Per ulteriori informazioni, vedere la sezione "Linee guida per iltesting".

Il browser Microsoft Edge in Chromium (versione 80) non sarà interessato da queste modifiche di SameSite. Puoi leggere la documentazione di Edge per vedere il piano corrente per adattare questa modifica.

Consigli

I clienti Microsoft che utilizzano Active Directory Federation Services (AD FS) o proxy applicazione Web devono distribuire uno dei seguenti aggiornamenti di Windows Server:

Prodotto Articolo della Microsoft Knowledge Base Data di rilascio
Windows Server 2019 KB 4534273 14 gennaio 2020
Windows Server 2016 KB 4534271 14 gennaio 2020
Windows Server 2012 R2 KB 4534309 14 gennaio 2020

È inoltre necessario aggiornare i seguenti prodotti client o server Microsoft. Gli aggiornamenti verranno aggiunti a questo articolo quando saranno disponibili. È consigliabile rivisitare regolarmente questo articolo per gli aggiornamenti più recenti.

Prodotto Articolo della Microsoft Knowledge Base Data di rilascio
Exchange Server 2019 KB 4537677 17 marzo 2020
Exchange Server 2016 KB 4537678 17 marzo 2020
Project Server 2013 KB 4484360 12 maggio 2020
Project Server 2010 KB 4484388 12 maggio 2020
SharePoint Foundation 2013 KB 4484364
(Aggiornamento cumulativo: KB 4484358) 1
12 maggio 2020
SharePoint Foundation 2010 KB 4484386 27 aprile 2020
SharePoint Server 2019 KB 4484259 11 febbraio 2020
SharePoint Server 2016 KB 4484272 10 marzo 2020
SharePoint Server 2013 KB 4484362 12 maggio 2020
SharePoint Server 2010 KB 4484389 12 maggio 2020
Skype for Business Server 2019 Imminente aggiornamento cumulativo della fine dell'estate 2020 (provvisorio)
Skype for Business Server 2015 Aggiornamento cumulativo di aprile 2020 (CU 11)

1 Questo aggiornamento cumulativo contiene la correzione per il problema relativo al cookie SameSite, oltre a correzioni aggiuntive non correlate al problema relativo al cookie SameSite. Microsoft consiglia di installare l'aggiornamento cumulativo anziché il singolo aggiornamento per assicurarsi che nell'ambiente siano disponibili tutte le correzioni al momento del rilascio dell'aggiornamento cumulativo.

È necessario testare le applicazioni per tutti gli scenari seguenti e determinare il piano appropriato in base al risultato dei test:

  • L'applicazione non è influenzata dalle modifiche apportate a SameSite. In questo caso, non è possibile eseguire alcuna azione.
  • L'applicazione è interessata, ma gli sviluppatori di software possono apportare la modifica nel tempo per usare le impostazioni dei cookie SameSite:None. In questo caso, è consigliabile modificare l'applicazione seguendo le indicazioni per gli sviluppatori nella sezione "Linee guida per iltesting ".
  • L'applicazione è interessata, ma non può essere modificata nel tempo. Per i siti interni, l'applicazione può essere esclusa dal comportamento di imposizione SameSite in Chrome utilizzando l'impostazione LegacySameSiteCookieBehaviorEnabledForDomainList.

Se i clienti aziendali apprendono che la maggior parte delle loro app sono interessate o se non hanno tempo sufficiente per testare le proprie app prima del rilascio graduale della funzionalità a partire dal 18 febbraio, sono invitati a disabilitare il comportamento SameSite nei computer che governano. A tale scopo, possono usare Criteri di gruppo, System Center Configuration Manager o Microsoft Intune (o qualsiasi software di gestione dei dispositivi mobili) finché non possono verificare che il nuovo comportamento non interrompa gli scenari di base nelle proprie app.

Google ha rilasciato i seguenti controlli enterprise che possono essere impostati per disabilitare il comportamento di imposizione SameSite in Chrome:

Per i clienti aziendali che sviluppano le proprie applicazioni su .NET Framework, è consigliabile aggiornare le raccolte e impostare il comportamento SameSite intenzionalmente per evitare risultati imprevisti causati dalla modifica del comportamento dei cookie. A tale scopo, vedere le linee guida nel seguente articolo del blog di Microsoft ASP.NET:

Prossime modifiche ai cookie SameSite in ASP.NET e ASP.NET Core

Vedi anche il seguente articolo del blog di Google Chromium per indicazioni per gli sviluppatori su questo problema:

Sviluppatori: prepararsi per new SameSite=None; Impostazioni cookie sicuro

I clienti che hanno interessato siti che influiscono su utenti o utenti non coperti dai criteri Aziendali devono indicare a tali utenti di utilizzare un browser diverso (Edge, Firefox, Internet Explorer) o di illustrare a tali utenti come disabilitare le impostazioni in Chrome (come illustrato nella sezione successiva) durante la correzione delle applicazioni.

Linee guida per il testing

Google ha pubblicato queste indicazioni per gli sviluppatori per prepararsi alle modifiche di SameSite. Inoltre, ti consigliamo di testare i siti Web e le app usando l'approccio seguente.

Usa Chrome Beta versione 80 per testare gli scenari:

  1. Scarica Chrome Beta versione 80:

  2. Avviare Chrome usando il seguente flag della riga di comando aggiuntivo: --enable-features=SameSiteDefaultChecksMethodRigorously

  3. Abilitare i flag SameSite. A tale scopo, digitare Chrome://flags nella barra degli indirizzi, cercare SameSite e quindi selezionare Abilitato per le opzioni seguenti.

Abilitare le impostazioni di SameSite

Ulteriori informazioni

La community Web sta lavorando a una soluzione per affrontare l'uso abusivo di tenere traccia dei cookie e la falsificazione di richieste intersito attraverso uno standard noto come SameSite.

Il team di Chrome ha annunciato l'implementazione di una modifica del comportamento predefinito della funzionalità SameSite a partire da una versione di Chrome versione 78 Beta il 18 ottobre 2019. Questa implementazione verrà spostata alla versione 80 di Chrome il 4 febbraio 2020. Questa modifica consente di migliorare la sicurezza Web. Tuttavia, interrompe anche i flussi di autenticazione basati sullo standard OpenID Connect. Pertanto, i modelli di autenticazione ben definiti non funzionano.

Controllo della versione di Chrome

Se si sospetta che gli utenti utilizzino Chrome versione 76 o successiva con SameSite abilitato, è possibile controllare il numero di versione accedendo a o selezionando l'icona Impostazioni di Chrome e quindi selezionando Guida su chrome://settings/help > Google Chrome.

Verifica della versione di Chrome in Informazioni su Google Chrome

Per le versioni 77-79 di Chrome, controlla nel browser se i flag sono Chrome://flags abilitati. L'impostazione predefinita inizierà a cambiare in Chrome versione 80 in una versione graduale.

Dichiarazione di non responsabilità sulle informazioni di terze parti

I prodotti di terzi citati in questo articolo sono prodotti da società indipendenti da Microsoft. Microsoft non rilascia alcuna garanzia implicita o esplicita relativa alle prestazioni o all'affidabilità di tali prodotti

Dichiarazione di non responsabilità di contatti di terze parti

Microsoft fornisce informazioni di contatto di terze parti allo scopo di facilitare l'individuazione del supporto tecnico. Queste informazioni di contatto sono soggette a modifica senza preavviso. Microsoft non garantisce la precisione delle informazioni di contatto di terzi.