Effekt på kundenettsteder og Microsoft-tjenester og -produkter i Chrome versjon 80 eller nyere

Obs!

Office 365 ProPlus får nytt navn og heter nå Microsoft 365-apper for enterprise. Hvis du vil ha mer informasjon om denne endringen, kan du lese dette blogginnlegget.

Obs!

Tidligere refererte denne artikkelen til Google Chrome Beta versjon 79. Google er planlagt å gi ut en informasjonskapsel atferd i Chrome Stable versjon 80. Chrome har oppdatert utrullingstidslinjen for å indikere at denne endringen lanseres i Chrome 80 fra og med 17. Chrome 80 sendes 4. Funksjonen vil bli aktivert på en gradert tidsplan fra 17.

Sammendrag

Den stabile utgivelsen av Google Chrome-nettleseren (build 80, planlagt for utgivelse 4. februar 2020) vil rulle ut en endring i standard informasjonskapselatferd fra og med 17. Selv om endringen er ment å fraråde skadelig informasjonskapsel sporing og beskytte web-applikasjoner, det er også forventet å påvirke mange programmer og tjenester som er basert på åpne standarder. Dette inkluderer Microsofts skytjenester.

Bedriftskunder oppfordres til å sørge for at de er forberedt på endringen og er klare til å implementere begrensninger ved å teste programmene sine (enten de er spesialutviklet eller kjøpt). Hvis du vil ha mer informasjon, kan du se delen"Anbefalinger".

Microsoft er forpliktet til å løse denne endringen i atferd i sine produkter og tjenester før Utgivelsesdatoen for Chrome 80. Denne artikkelen beskriver veiledningen fra både Microsoft og Google for å installere de ulike oppdateringene som kreves for produkter og biblioteker, og veiledningen for testing og forberedelse. Det er imidlertid like viktig at du tester dine egne programmer mot denne endringen i Chrome-atferd og forbereder dine egne nettsteder og nettprogrammer etter behov.

Effekt på kundeapplikasjoner

Alle Microsoft Cloud-tjenester oppdateres for å overholde de nye kravene som er gjort av Chrome, men noen andre programmer kan fortsatt påvirkes. Sjekk delen"Anbefalinger"for enkelte serverprodukter som krever oppdatering av kunder.

Du bør grundig teste alle programmer ved hjelp av Chrome Beta versjon 80 for å bekrefte effekten av denne endringen. Vi forventer at problemer som ligner på problemene som denne artikkelen beskriver, vil påvirke programmene dine. Dette gjelder spesielt for programmer som bruker en hvilken som helst nettplattform eller teknologi som er avhengig av deling av informasjonskapsler på tvers av domener, for eksempel apper som er innebygd i andre apper.

Chrome-versjoner 78 og 79 betas har en forbedring som forsinker SameSite:Lax-attributthåndhevelse i to minutter. Bruk av disse versjonene for testing kan imidlertid maskere andre problemer. Vi anbefaler derfor at du tester ved hjelp av Chrome versjon 80 ved å ha bestemte flagg aktivert. Hvis du gjør dette, kan du i det minste hjelpe deg med å oppdage effekten, slik at du kan finne den beste planen din. Hvis du vil ha mer informasjon, kan du se delen"Retningslinjer for testing".

Microsoft Edge-nettleseren på Chromium (versjon 80) påvirkes ikke av disse SameSite-endringene. Du kan lese Edge-dokumentasjonen for å se gjeldende plan for å tilpasse denne endringen.

Anbefalinger

Microsoft-kunder som bruker Active Directory Federation Services (AD FS) eller Proxy for webprogram, må distribuere én av følgende Windows Server-oppdateringer:

Produkt KB-artikkel Utgivelsesdato
Windows Server 2019 KB 4534273 På den 14e januar, 2020
Windows Server 2016 KB 4534271 På den 14e januar, 2020
Windows Server 2012 R2 KB 4534309 På den 14e januar, 2020

Følgende Microsoft-server- eller klientprodukter må også oppdateres. Oppdateringene legges til i denne artikkelen når de er tilgjengelige. Vi anbefaler at du går regelmessig tilbake til denne artikkelen for de siste oppdateringene.

Produkt KB-artikkel Utgivelsesdato
Exchange Server-2019 KB 4537677 På den 17e mars, 2020
Exchange Server-2016 KB 4537678 På den 17e mars, 2020
Project Server-2013 KB 4484360 På den 12e mai, 2020
Project Server 2010 KB 4484388 På den 12e mai, 2020
SharePoint Foundation 2013 KB 4484364
(Kumulativ oppdatering: KB 4484358) 1.1
På den 12e mai, 2020
SharePoint Foundation 2010 KB 4484386 På den 27e april, 2020
SharePoint Server 2019 KB 4484259 På den 11e februar, 2020
SharePoint Server-2016 KB 4484272 På den 10e mars, 2020
SharePoint Server 2013 KB 4484362 På den 12e mai, 2020
SharePoint Server 2010 KB 4484389 På den 12e mai, 2020
Skype for Business Server 2019 Kommende sensommeren 2020 kumulativ oppdatering (foreløpig)
Skype for Business Server 2015 April 2020 kumulativ oppdatering (CU 11)

1 Denne kumulative oppdateringen inneholder hurtigreparasjonen for problemet med SameSite-informasjonskapsel, pluss flere reparasjoner som ikke er relatert til problemet med SameSite-informasjonskapsel. Microsoft anbefaler at du installerer den kumulative oppdateringen i stedet for den individuelle oppdateringen for å sikre at miljøet har alle reparasjonene som er tilgjengelige da den kumulative oppdateringen ble utgitt.

Du må teste programmene for alle følgende scenarier, og bestemme riktig plan basert på utfallet av testene:

  • Programmet ditt påvirkes ikke av samesittendringene. I dette tilfellet er det ingen handling å ta.
  • Programmet ditt påvirkes, men programvareutviklerne dine kan gjøre endringen i tide for å bruke innstillingene for SameSite:None cookie. I dette tilfellet bør du endre programmet ved å følge utviklerveiledningen i delen"Retningslinjer for testing".
  • Søknaden din påvirkes, men kan ikke endres i tide. For interne nettsteder kan programmet utelates fra samesitthåndhevelsesatferden i Chrome ved hjelp av legacySameSiteCookieBehaviorEnabledForDomainList-innstillingen.

Hvis bedriftskunder får vite at de fleste appene deres påvirkes, eller hvis de ikke har nok tid til å teste appene SameSite sine før den uteksaminerte utgivelsen av funksjonen starter 18. De kan gjøre dette ved hjelp av gruppepolicy, System Center Configuration Manager eller Microsoft Intune (eller en hvilken som helst programvare for administrasjon av mobile enheter) til de kan kontrollere at den nye virkemåten ikke bryter grunnleggende scenarier i appene sine.

Google har gitt ut følgende bedriftskontroller som kan settes til å deaktivere samesite-håndhevelsesatferden i Chrome:

For bedriftskunder som utvikler sine programmer på .NET Framework, anbefaler vi at de oppdaterer biblioteker og angir samesite virkemåten med vilje for å unngå uforutsigbare resultater som er forårsaket av endringen i virkemåten for informasjonskapsler. Hvis du vil gjøre dette, kan du se veiledningen i følgende artikkel i Microsoft ASP.NET Blog:

Kommende samesite cookie endringer i ASP.NET og ASP.NET Core

Se også følgende artikkel i Google Chromium Blog for veiledning for utviklere om dette problemet:

Utviklere: Gjør deg klar for ny SameSite = Ingen; Innstillinger for sikker informasjonskapsle

Kunder som har berørte nettsteder som påvirker forbrukere eller brukere som ikke er dekket av enterprise-retningslinjene, må instruere disse brukerne om å bruke en annen nettleser (Edge, Firefox, Internet Explorer) eller gå disse brukerne gjennom hvordan du deaktiverer innstillingene i Chrome (som vist i neste del) mens de fikser programmene sine.

Retningslinjer for testing

Google har publisert denne veiledningen for utviklere for å forberede seg på SameSite-endringene. I tillegg anbefaler vi at du tester nettsteder og apper ved å bruke følgende tilnærming.

Bruk Chrome Beta versjon 80 til å teste scenariene:

  1. Last ned Chrome Beta versjon 80:

  2. Start Chrome ved hjelp av følgende ekstra kommandolinjeflagg:--enable-features=SameSiteDefaultChecksMethodRigorously

  3. Aktiver SameSite-flaggene. Hvis du vil gjøre dette, skriver du Chrome://flags inn adresselinjen, søker etter SameSite, og velg deretter Aktivert for følgende alternativer.

Aktivere SameSite-innstillinger

Mer informasjon

Nettsamfunnet jobber med en løsning for å håndtere den fornærmende bruken av sporing av informasjonskapsler og forespørselsforfalskning på tvers av nettsteder gjennom en standard som kalles SameSite.

Chrome-teamet hadde annonsert planer om å rulle ut en endring i standardvirkemåten til SameSite-funksjonaliteten som starter i en versjon av Chrome versjon 78 Beta den 18. Denne utrullingen flyttes til Chrome versjon 80 4. Denne endringen bidrar til å forbedre websikkerheten. Det bryter imidlertid også godkjenningsflyter som er basert på OpenID Connect-standarden. Derfor fungerer veletablerte godkjenningsmønstre ikke.

Kontrollere Chrome-versjonen

Hvis du mistenker at brukerne dine bruker en Chrome versjon 76 eller en senere versjon som har SameSite aktivert, kan du sjekke versjonsnummeret ved å gå til chrome://settings/help eller ved å velge Innstillinger for Chrome-ikonet og deretter velge Hjelpom > Google Chrome.

Sjekke Chrome-versjonen i Om Google Chrome

For 77–79-versjonene av Chrome, sjekk Chrome://flags i nettleseren for å se om de har flaggene aktivert. Innstillingens standard begynner å endres i Chrome versjon 80 på en gradert versjon.

Ansvarsfraskrivelse for tredjepartsinformasjon

Tredjepartsprodukter som denne artikkelen beskriver, er produsert av selskaper som er uavhengige av Microsoft. Microsoft gir ingen garantier, underforståtte eller på annen måte, om ytelsen eller påliteligheten til disse produktene.

Microsoft inneholder kontaktinformasjon fra tredjeparter for å hjelpe deg med å finne mer informasjon om dette emnet. Denne kontaktinformasjonen kan endres uten varsel. Microsoft garanterer ikke nøyaktigheten av tredjeparts kontaktinformasjon.