Effect op websites van klanten en Microsoft-services en -producten in Chrome-versie 80 of hoger

Notitie

Eerder, dit artikel verwezen Google Chrome Beta versie 79. Google is gepland om een cookie gedrag release in Chrome Stable versie 80. Chrome heeft de implementatietijdlijn bijgewerkt om aan te geven dat deze wijziging vanaf 17 februari wordt uitgerold in Chrome 80. Chrome 80 wordt op 4 februari verzonden en heeft deze functie standaard uitgeschakeld. De functie wordt vanaf 17 februari op een gegradueerd schema ingeschakeld.

Samenvatting

De stable release van de Google Chrome-webbrowser (build 80, gepland voor release op 4 februari 2020) rolt vanaf de week van 17 februari een wijziging uit in het standaardcookiegedrag. Hoewel de wijziging is bedoeld om het bijhouden van schadelijke cookies te ontmoedigen en webapplicaties te beschermen, wordt ook verwacht dat het veel toepassingen en services zal beïnvloeden die zijn gebaseerd op open standaarden. Dit geldt ook voor Microsoft-cloudservices.

Zakelijke klanten worden aangemoedigd om ervoor te zorgen dat ze voorbereid zijn op de wijziging en klaar zijn om oplossingen te implementeren door hun toepassingen te testen (of ze nu op maat zijn ontwikkeld of gekocht). Zie voor meer informatie de sectieAanbevelingen.

Microsoft streeft ernaar deze gedragsverandering in zijn producten en services aan te pakken vóór de releasedatum van Chrome 80. In dit artikel worden de richtlijnen van zowel Microsoft als Google besproken voor het installeren van de verschillende updates die nodig zijn voor producten en bibliotheken, en de richtlijnen voor het testen en voorbereiden. Het is echter net zo belangrijk dat u uw eigen toepassingen test tegen deze wijziging in Chrome-gedrag en uw eigen websites en webapplicaties zo nodig voorbereidt.

Effect op klanttoepassingen

Alle Microsoft Cloud-services worden bijgewerkt om te voldoen aan de nieuwe vereisten van Chrome, maar sommige andere toepassingen kunnen nog steeds worden beïnvloed. Raadpleeg de sectieAanbevelingenvoor sommige serverproducten waarvoor klanten moeten worden bijgewerkt.

U moet alle toepassingen grondig testen met Chrome Beta versie 80 om het effect van deze wijziging te verifiëren. We verwachten dat problemen die vergelijkbaar zijn met de problemen die dit artikel beschrijft, van invloed zijn op uw toepassingen. Dit geldt met name voor toepassingen die elk webplatform of technologie gebruiken die afhankelijk is van het delen van cross-domain cookies, zoals apps die zijn ingebed in andere apps.

Chrome-versies 78 en 79 bèta's hebben een verbetering die de handhaving van de SameSite:Lax-attribuut twee minuten vertraagt. Het gebruik van deze versies voor het testen kan echter andere problemen maskeren. Daarom raden we u aan om chrome versie 80 te testen door specifieke vlaggen in te schakelen. Door dit te doen, tenminste, kan u helpen ontdekken het effect, zodat u uw beste plan bepalen. Zie voor meer informatie de sectie "Testrichtlijnen".

Microsoft Edge browser op Chromium (versie 80) zal niet worden beïnvloed door deze SameSite wijzigingen. U de Edge-documentatie lezen om het huidige plan voor het aanpassen van deze wijziging te bekijken.

Aanbevelingen

Microsoft-klanten die Active Directory Federation Services (AD FS) of WebApplication Proxy gebruiken, moeten een van de volgende Windows Server-updates implementeren:

Product KB-artikel Releasedatum
Windows Server 2019 KB 4534273 14 januari 2020
Windows Server 2016 KB 4534271 14 januari 2020
Windows Server 2012 R2 KB 4534309 14 januari 2020

De volgende Microsoft-server- of clientproducten moeten ook worden bijgewerkt. De updates worden aan dit artikel toegevoegd wanneer ze beschikbaar zijn. We raden u aan dit artikel regelmatig opnieuw te bezoeken voor de laatste updates.

Product KB-artikel Releasedatum
Exchange Server 2019 KB 4537677 17 maart 2020
Exchange Server 2016 KB 4537678 17 maart 2020
Project Server 2013 KB 4484279 10 maart 2020
Project Server 2010 KB 4484239 10 maart 2020
SharePoint Foundation 2013 KB 4484282
(Cumulatieve update: KB 4484278) 1.
10 maart 2020
SharePoint Foundation 2010 KB 4484197 10 maart 2020
SharePoint Server 2019 KB 4484259 11 februari 2020
SharePoint Server 2016 KB 4484272 10 maart 2020
SharePoint Server 2013 KB 4484280 10 maart 2020
SharePoint Server 2010 KB 4484241 10 maart 2020
Skype voor Bedrijven Server 2019 Cumulatieve update van maart 2020 (CU 3)
Skype voor Bedrijven Server 2015 Cumulatieve update van april 2020 (CU 11)

1 Deze cumulatieve update bevat de oplossing voor het cookieprobleem van SameSite, plus aanvullende oplossingen die geen verband houden met het cookieprobleem van SameSite. Microsoft raadt aan de cumulatieve update te installeren in plaats van de afzonderlijke update om ervoor te zorgen dat uw omgeving alle oplossingen beschikbaar heeft op het moment dat de cumulatieve update werd uitgebracht.

U moet uw toepassingen testen voor alle volgende scenario's en het juiste plan bepalen op basis van de resultaten van de tests:

  • Uw toepassing wordt niet beïnvloed door de wijzigingen op SameSite. In dit geval is er geen actie te ondernemen.
  • Uw toepassing wordt beïnvloed, maar uw softwareontwikkelaars kunnen de wijziging in de tijd aanbrengen om de cookie-instellingen samesite:None te gebruiken. In dit geval moet u uw toepassing wijzigen door de richtlijnen van de ontwikkelaar te volgen in de sectie "Testrichtlijnen".
  • Uw toepassing wordt beïnvloed, maar kan niet op tijd worden gewijzigd. Voor interne sites kan de toepassing worden uitgesloten van het handhavingsgedrag van SameSite in Chrome met behulp van de instelling LegacySameSiteCookieBehaviorEnabledForDomainList.

Als zakelijke klanten erachter komen dat de meeste van hun apps worden beïnvloed, of als ze niet genoeg tijd hebben om hun apps te testen voordat de afgestudeerde release van de functie op 18 februari begint, worden ze aangemoedigd om het Gedrag van SameSite uit te schakelen in computers die ze besturen. Ze kunnen dit doen door groepsbeleid, SysteemcentrumConfiguratiebeheer of Microsoft Intune (of een software voor mobile device management) te gebruiken totdat ze kunnen controleren of het nieuwe gedrag geen basisscenario's in hun apps breekt.

Google heeft de volgende besturingselementen voor ondernemingen vrijgegeven die kunnen worden ingesteld om het handhavingsgedrag van SameSite uit te schakelen in Chrome:

Voor zakelijke klanten die hun toepassingen ontwikkelen op .NET Framework, raden we aan om bibliotheken bij te werken en het SameSite-gedrag opzettelijk in te stellen om onvoorspelbare resultaten te voorkomen die worden veroorzaakt door de wijziging in het cookiegedrag. Zie hiervoor de richtlijnen in het volgende artikel van Microsoft ASP.NET Blog:

Aankomende SameSite-cookiewijzigingen in ASP.NET en ASP.NET Core

Zie ook het volgende Artikel van de Blog van het Chromium van Google voor ontwikkelaarbegeleiding over dit probleem:

Ontwikkelaars: Maak je klaar voor nieuwe SameSite=None; Veilige cookie-instellingen

Klanten die sites hebben beïnvloed die van invloed zijn op consumenten of gebruikers die niet onder hun Enterprise-beleid vallen, moeten deze gebruikers instrueren om een andere browser te gebruiken (Edge, Firefox, Internet Explorer) of deze gebruikers te laten doorlopen hoe ze de instellingen in Chrome (zoals weergegeven in de volgende sectie) terwijl ze hun toepassingen repareren.

Testrichtlijnen

Google heeft deze richtlijnen voor ontwikkelaars gepubliceerd om zich voor te bereiden op de samesite-wijzigingen. Daarnaast raden we u aan uw websites en apps te testen met behulp van de volgende aanpak.

Gebruik Chrome Beta versie 80 om de scenario's te testen:

  1. Download Chrome Beta versie 80:

  2. Start Chrome met de volgende extra opdrachtregelvlag:--enable-features=SameSiteDefaultChecksMethodRigorously

  3. Schakel de SameSite-vlaggen in. Als u dit wilt doen, typt u Chrome://flags in de adresbalk, zoekt u naar SameSiteen selecteert u Ingeschakeld voor de volgende opties.

SameSite-instellingen inschakelen

Meer informatie

De webcommunity werkt aan een oplossing om het misbruik van trackingcookies en cross-site request vervalsing aan te pakken via een standaard die bekend staat als SameSite.

Het Chrome-team had plannen aangekondigd om een wijziging in het standaardgedrag van de SameSite-functionaliteit uit te rollen vanaf een release van Chrome-versie 78 Beta op 18 oktober 2019. Deze uitrol wordt verplaatst naar Chrome versie 80 release op 4 februari 2020. Deze wijziging helpt de webbeveiliging te verbeteren. Het breekt echter ook verificatiestromen die zijn gebaseerd op de OpenID Connect-standaard. Daarom werken gevestigde verificatiepatronen niet.

De Chrome-versie controleren

Als u vermoedt dat uw gebruikers een Chrome-versie 76 of een latere versie gebruiken waarop SameSite is ingeschakeld, u het versienummer controleren door naar chrome://settings/help te navigeren of door het pictogram Chrome-instellingen te selecteren en vervolgens Help > over Google Chromete selecteren.

Chrome-versie controleren in Over Google Chrome

Controleer voor de 77-79-versies van Chrome de Chrome://flags in de browser om te zien of de vlaggen zijn ingeschakeld. De standaardinstelling begint te veranderen in Chrome-versie 80 bij een afgestudeerde release.

Disclaimer van externe informatie

De producten van derden die in dit artikel worden besproken, worden vervaardigd door bedrijven die onafhankelijk zijn van Microsoft. Microsoft geeft geen garantie, impliciet of anderszins, over de prestaties of betrouwbaarheid van deze producten.

Microsoft biedt contactgegevens van derden om u te helpen aanvullende informatie over dit onderwerp te vinden. Deze contactgegevens kunnen zonder kennisgeving worden gewijzigd. Microsoft garandeert niet de juistheid van contactgegevens van derden.