Chrome 버전 80 이상에서 고객 웹 사이트와 Microsoft 서비스 및 제품에 미치는 영향
참고
이전에 이 문서는 Google Chrome 베타 버전 79를 참조했습니다. Google은 Chrome Stable 버전 80에서 쿠키 동작을 릴리스할 예정입니다. Chrome은 이 변경 사항이 2월 17일 주부터 Chrome 80에서 출시될 것임을 알리기 위해 출시 일정을 업데이트했습니다. Chrome 80은 2월 4일에 출시되며 이 기능은 기본적으로 비활성화되어 있습니다. 이 기능은 2월 17일부터 단계적 일정에 따라 활성화됩니다.
요약
Google Chrome 웹 브라우저의 안정판 릴리스(빌드 80, 2020년 2월 4일 릴리스 예정)는 2월 17일 주부터 기본 쿠키 동작에 대한 변경 사항을 배포합니다. 이 변경은 악의적인 쿠키 추적을 방지하고 웹 애플리케이션을 보호하기 위한 것이지만 개방형 표준을 기반으로 하는 많은 애플리케이션과 서비스에도 영향을 미칠 것으로 예상됩니다. 여기에는 Microsoft 클라우드 서비스가 포함됩니다.
엔터프라이즈 고객은 변경에 대비하고 자사의 애플리케이션(맞춤 개발했거나 구매한 애플리케이션 모두)을 테스트하여 완화 조치할 준비가 되어 있는지 확인하는 것이 좋습니다. 자세한 내용은 "권장 사항" 절을 참조하세요.
Microsoft는 Chrome 80 릴리스 날짜 이전에 제품 및 서비스의 이러한 동작 변화를 해결하기 위해 최선을 다하고 있습니다. 이 문서에서는 제품 및 라이브러리에 필요한 다양한 업데이트를 설치하기 위한 Microsoft 및 Google의 지침과 테스트 및 준비 지침에 대해 설명합니다. 그러나 Chrome 동작의 이러한 변화에 대해 자체 애플리케이션을 테스트하고 필요에 따라 자체 웹 사이트와 웹 애플리케이션을 준비하는 것도 똑같이 중요합니다.
고객 애플리케이션에 미치는 영향
참고
Microsoft Learn 샌드박스를 활성화하려고 할 때 권한을 검토할 수 없는 경우 chrome://settings/clearBrowserData로 이동하여 검색 데이터를 지우세요.
모든 Microsoft 클라우드 서비스는 Chrome의 새로운 요구 사항을 준수하도록 업데이트되지만 일부 다른 애플리케이션은 여전히 영향을 받을 수 있습니다. 고객이 업데이트해야 하는 일부 서버 제품에 대해서는 "권장 사항" 절을 확인하세요.
이 변경 사항의 영향을 확인하려면 Chrome 베타 버전 80을 사용하여 모든 애플리케이션을 철저히 테스트해야 합니다. 이 문서에서 설명하는 문제와 유사한 문제가 애플리케이션에 영향을 줄 것으로 예상합니다. 이는 다른 앱에 포함된 앱과 같이 도메인 간 쿠키 공유에 의존하는 모든 웹 플랫폼 또는 기술을 사용하는 애플리케이션에 특히 해당됩니다.
Chrome 버전 78 및 79 베타에는 SameSite:Lax속성 적용을 2분 동안 지연시키는 개선 사항이 있습니다. 그러나 이러한 버전을 테스트에 사용하면 다른 문제가 가려질 수 있습니다. 따라서 특정 플래그를 활성화하여 Chrome 버전 80을 사용하여 테스트하는 것이 좋습니다. 이렇게 하면 최소한 최상의 계획을 결정할 수 있도록 효과를 발견하는 데 도움이 될 수 있습니다. 자세한 내용은 "테스트 지침" 절을 참조하세요.
Chromium(버전 80)의 Microsoft Edge 브라우저는 이러한 SameSite 변경 사항의 영향을 받지 않습니다. 이 변경 사항을 적용하기 위한 현재 계획을 보려면 Edge 설명서를 읽으시면 됩니다.
권장 사항
AD FS(Active Directory Federation Services) 또는 웹 애플리케이션 프록시를 사용하는 Microsoft 고객은 다음 Windows Server 업데이트 중 하나를 배포해야 합니다.
| 제품 | 기술 자료 문서 | 릴리스 날짜 |
|---|---|---|
| Windows Server 2019 | KB 4534273 | 2020년 1월 14일 화요일 |
| Windows Server 2016 | KB 4534271 | 2020년 1월 14일 화요일 |
| Windows Server 2012 R2 | KB 4534309 | 2020년 1월 14일 화요일 |
다음 Microsoft 서버 또는 클라이언트 제품도 업데이트해야 합니다. 업데이트는 사용 가능할 때 이 문서에 추가됩니다. 이 문서를 정기적으로 다시 방문하여 최신 업데이트를 확인하는 것이 좋습니다.
| 제품 | 기술 자료 문서 | 릴리스 날짜 |
|---|---|---|
| Exchange Server 2019 | KB 4537677 | 2020년 3월 17일 화요일 |
| Exchange Server 2016 | KB 4537678 | 2020년 3월 17일 화요일 |
| Project Server 2013 | KB 4484360 | 2020년 5월 12일 화요일 |
| Project Server 2010 | KB 4484388 | 2020년 5월 12일 화요일 |
| SharePoint Foundation 2013 | KB 4484364 (누적 업데이트: KB 4484358)1 |
2020년 5월 12일 화요일 |
| SharePoint Foundation 2010 | KB 4484386 | 2020년 4월 27일 월요일 |
| SharePoint Server 2019 | KB 4484259 | 2020년 2월 11일 화요일 |
| SharePoint Server 2016 | KB 4484272 | 2020년 3월 10일 화요일 |
| SharePoint Server 2013 | KB 4484362 | 2020년 5월 12일 화요일 |
| SharePoint Server 2010 | KB 4484389 | 2020년 5월 12일 화요일 |
| 비즈니스용 Skype Server 2019 | KB 4549672 (누적 업데이트: KB 4582629)1 |
2020년 9월 누적 업데이트(CU 4) |
| 비즈니스용 Skype Server 2015 | KB 4549672 (누적 업데이트: KB 4558387)1 |
2020년 5월 누적 업데이트(CU 11) |
참고
1 이 누적 업데이트에는 SameSite 쿠키 문제에 대한 수정 사항과 SameSite 쿠키 문제와 관련이 없는 추가 수정 사항이 포함되어 있습니다. Microsoft는 누적 업데이트가 릴리스된 시점에 사용 가능한 모든 수정 사항이 환경에 포함되도록 개별 업데이트보다는 누적 업데이트를 설치하는 것이 좋습니다.
다음 모든 시나리오에 대해 애플리케이션을 테스트하고 테스트 결과에 따라 적절한 계획을 결정해야 합니다.
- 애플리케이션이 SameSite 변경의 영향을 받지 않습니다. 이 경우 취할 조치가 없습니다.
- 애플리케이션이 영향을 받지만 소프트웨어 개발자가 SameSite:None 쿠키 설정을 사용하도록 시간을 변경할 수 있습니다. 이 경우 "테스트 지침" 절의 개발자 지침에 따라 애플리케이션을 변경해야 합니다.
- 애플리케이션이 영향을 받았지만 제때 변경할 수 없습니다. 내부 사이트의 경우 LegacySameSiteCookieBehaviorEnabledForDomainList 설정을 사용하여 Chrome의 SameSite 적용 동작에서 애플리케이션을 제외할 수 있습니다.
엔터프라이즈 고객이 대부분의 앱이 영향을 받는다는 사실을 알게 되거나 2월 18일부터 기능이 점진적으로 릴리스되기 전에 앱을 테스트할 시간이 충분하지 않은 경우 관리하는 컴퓨터에서 SameSite 동작을 비활성화하는 것이 좋습니다. 새 동작으로 인해 앱의 기본 시나리오가 중단되지 않는지 확인할 때까지 그룹 정책, System Center Configuration Manager 또는 Microsoft Intune(또는 모든 모바일 디바이스 관리 소프트웨어)을 사용하여 이 작업을 수행할 수 있습니다.
Google은 Chrome에서 SameSite 적용 동작을 비활성화하도록 설정할 수 있는 다음 엔터프라이즈 컨트롤을 출시했습니다.
- LegacySameSiteCookieBehaviorEnabled - 이 변경을 사용하거나 사용하지 않습니다.
- LegacySameSiteCookieBehaviorEnabledForDomainList - Chrome이 특정 도메인에서 이 정책을 사용하지 않도록 허용합니다.
.NET Framework에서 애플리케이션을 개발하는 엔터프라이즈 고객의 경우 쿠키 동작의 변경으로 인한 예기치 않은 결과를 방지하기 위해 의도적으로 라이브러리를 업데이트하고 SameSite 동작을 설정하는 것이 좋습니다. 이렇게 하려면 다음 Microsoft ASP.NET 블로그 문서의 지침을 참조하세요.
ASP.NET 및 ASP.NET Core에서 예정된 SameSite 쿠키 변경 사항
또한 이 문제에 대한 개발자 지침은 다음 Google Chromium 블로그 문서를 참조하세요.
개발자: 새 SameSite=None에 대한 대비, 보안 쿠키 설정
엔터프라이즈 정책이 적용되지 않는 소비자 또는 사용자에게 영향을 미치는 사이트가 있는 고객은 해당 사용자에게 애플리케이션을 수정하는 동안 다른 브라우저(Edge, Firefox, Internet Explorer)를 사용하거나 Chrome에서 설정을 비활성화할 수 있도록 방법(다음 절에 표시된 대로)을 안내해야 합니다.
테스트 지침
Google은 개발자가 SameSite 변경 사항에 대비할 수 있도록 이 지침을 게시했습니다. 또한 다음 접근 방식을 사용하여 웹 사이트와 앱을 테스트하는 것이 좋습니다.
Chrome 베타 버전 80을 사용하여 시나리오를 테스트합니다.
Chrome 베타 버전 80 다운로드:
- Windows 64비트: Windows용 베타 채널(64비트)
- Windows 32비트: Windows용 베타 채널(32비트)
다음 추가 명령줄 플래그를 사용하여 Chrome을 시작합니다.
--enable-features=SameSiteDefaultChecksMethodRigorouslySameSite 플래그를 사용합니다. 이렇게 하려면 주소 표시줄에 chrome://flags를 입력하고 SameSite를 검색한 후 다음 옵션에 대해 사용을 선택합니다.
추가 정보
웹 커뮤니티는 SameSite로 알려진 표준을 통해 쿠키 추적 및 사이트 간 요청 위조의 남용을 해결하기 위한 솔루션을 개발하고 있습니다.
Chrome 팀은 2019년 10월 18일 Chrome 버전 78 베타 릴리스부터 SameSite 기능의 기본 동작에 대한 변경 사항을 출시할 계획을 발표했습니다. 이 출시는 2020년 2월 4일에 Chrome 버전 80 릴리스로 이동됩니다. 이 변경은 웹 보안을 개선하는 데 도움이 됩니다. 그러나 OpenID Connect 표준을 기반으로 하는 인증 흐름도 중단됩니다. 따라서 잘 정립된 인증 패턴은 작동하지 않습니다.
Chrome 버전 확인
사용자가 SameSite가 활성화된 Chrome 버전 76 이상을 사용하고 있다고 의심되는 경우 chrome://settings/help로 이동하거나 Chrome 설정 아이콘을 선택한 다음 도움말>Google Chrome 정보를 선택하여 버전 번호를 확인할 수 있습니다.
Chrome 77~79 버전의 경우 chrome://flags로 이동하여 플래그가 활성화되어 있는지 확인합니다. 설정 기본값은 점진적 릴리스에 따라 Chrome 버전 80에서 변경되기 시작합니다.
타사 정보 고지 사항
이 문서에 나와 있는 다른 공급업체 제품은 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft는 이들 제품의 성능이나 안정성에 관하여 명시적이든 묵시적이든 어떠한 보증도 하지 않습니다.
타사 연락처 고지
이 문서에 포함된 다른 공급업체의 연락처 정보는 기술 지원을 받는 데 도움을 주기 위한 것입니다. 이 연락처 정보는 공지 없이 변경될 수 있습니다. Microsoft는 이러한 다른 공급업체 연락처 정보의 정확성을 보증하지 않습니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기