Effect op websites van klanten en Microsoft-services en -producten in Chrome versie 80 of hoger

Notitie

Office 365 ProPlus wordt hernoemd naar Microsoft 365 Apps voor ondernemingen. Raadpleeg deze blogpost voor meer informatie over deze wijziging.

Notitie

Eerder heeft dit artikel verwezen naar Google Chrome Beta versie 79. Google zal een cookiegedrag vrijgeven in Chrome Stable versie 80. Chrome heeft de tijdlijn voor de implementatie bijgewerkt om aan te geven dat deze wijziging wordt uitgerold in Chrome 80 vanaf de week van 17 februari. Chrome 80 wordt op 4 februari weergegeven en deze functie is standaard uitgeschakeld. De functie wordt vanaf 17 februari ingeschakeld volgens een gegrade planning.

Samenvatting

Met de stabiele release van de webbrowser Google Chrome (build 80, gepland voor release op 4 februari 2020) wordt vanaf de week van 17 februari een wijziging in het standaard cookiegedrag uitgevoerd. Hoewel de wijziging bedoeld is om het bijhouden van schadelijke cookies te ontmoedigen en webtoepassingen te beveiligen, is de wijziging naar verwachting ook van invloed op veel toepassingen en services die zijn gebaseerd op open standaarden. Dit geldt ook voor Microsoft-cloudservices.

Enterprise-klanten worden aangeraden ervoor te zorgen dat ze voorbereid zijn op de wijziging en bereid zijn om mitigaties te implementeren door hun toepassingen te testen (of ze nu op maat zijn ontwikkeld of gekocht). Zie de sectie Aanbevelingen voormeerinformatie.

Microsoft doet er alles aan om deze wijziging in het gedrag in haar producten en services aan te pakken vóór de releasedatum van Chrome 80. In dit artikel worden de richtlijnen van zowel Microsoft als Google beschreven voor het installeren van de verschillende updates die nodig zijn voor producten en bibliotheken, en de richtlijnen voor testen en voorbereiden. Het is echter even belangrijk dat u uw eigen toepassingen test tegen deze wijziging in het gedrag van Chrome en zo nodig uw eigen websites en webtoepassingen voorbereidt.

Effect op klanttoepassingen

Alle Microsoft Cloud-services worden bijgewerkt om te voldoen aan de nieuwe vereisten van Chrome, maar sommige andere toepassingen kunnen nog steeds worden beïnvloed. Controleer de sectie'Aanbevelingen'voor sommige serverproducten waarvoor een update door klanten nodig is.

U moet alle toepassingen grondig testen met Chrome Beta versie 80 om het effect van deze wijziging te controleren. We verwachten dat problemen die vergelijkbaar zijn met de problemen die in dit artikel worden beschreven, van invloed zijn op uw toepassingen. Dit geldt met name voor toepassingen die gebruikmaken van elk webplatform of elke technologie die afhankelijk is van het delen van cookies met meerdere domeinen, zoals apps die zijn ingesloten in andere apps.

Chrome-versies 78 en 79 bèta's hebben een verbetering die de toepassing van het SameSite:Lax-kenmerk twee minuten vertraagt. Het gebruik van deze versies voor het testen kan echter andere problemen maskeren. Daarom wordt u aangeraden om te testen met Chrome versie 80 door specifieke vlaggen in te stellen. Als u dit doet, kunt u op zijn minst het effect ontdekken, zodat u uw beste plan kunt bepalen. Zie de sectieTestrichtlijnenvoor meer informatie.

Microsoft Edge-browser op Chromium (versie 80) wordt niet beïnvloed door deze samesite-wijzigingen. U kunt de Edge-documentatie lezen om het huidige plan voor het aanpassen van deze wijziging te bekijken.

Aanbevelingen

Microsoft-klanten die Active Directory Federation Services (AD FS) of Web Application Proxy gebruiken, moeten een van de volgende Windows Server-updates implementeren:

Product KB-artikel Releasedatum
Windows Server 2019 KB 4534273 14 januari 2020
Windows Server 2016 KB 4534271 14 januari 2020
Windows Server 2012 R2 KB 4534309 14 januari 2020

De volgende Microsoft-server- of clientproducten moeten ook worden bijgewerkt. De updates worden toegevoegd aan dit artikel wanneer ze beschikbaar zijn. We raden u aan dit artikel regelmatig opnieuw te lezen voor de meest recente updates.

Product KB-artikel Releasedatum
Exchange Server 2019 KB 4537677 17 maart 2020
Exchange Server 2016 KB 4537678 17 maart 2020
Project Server 2013 KB 4484360 12 mei 2020
Project Server 2010 KB 4484388 12 mei 2020
SharePoint Foundation 2013 KB 4484364
(Cumulatieve update: KB 4484358) 1
12 mei 2020
SharePoint Foundation 2010 KB 4484386 27 april 2020
SharePoint Server 2019 KB 4484259 11 februari 2020
SharePoint Server 2016 KB 4484272 10 maart 2020
SharePoint Server 2013 KB 4484362 12 mei 2020
SharePoint Server 2010 KB 4484389 12 mei 2020
Skype for Business Server 2019 Aankomende cumulatieve update voor de zomer van 2020 (voorlopig)
Skype for Business Server 2015 Cumulatieve update van april 2020 (CU 11)

1 Deze cumulatieve update bevat de oplossing voor het cookieprobleem Op dezelfde site, plus extra oplossingen die niet gerelateerd zijn aan het cookieprobleem met SameSite. Microsoft raadt aan de cumulatieve update te installeren in plaats van de afzonderlijke update om ervoor te zorgen dat in uw omgeving alle oplossingen beschikbaar zijn op het moment dat de cumulatieve update werd uitgebracht.

U moet uw toepassingen voor alle volgende scenario's testen en het juiste plan bepalen op basis van het resultaat van de tests:

  • De toepassing wordt niet beïnvloed door dezelfde sitewijzigingen. In dit geval hoeft u geen actie te ondernemen.
  • Uw toepassing wordt beïnvloed, maar uw softwareontwikkelaars kunnen de wijziging in de tijd aanbrengen om dezelfde site:geen cookie-instellingen te gebruiken. In dit geval moet u de toepassing wijzigen door de richtlijnen voor ontwikkelaars te volgen in de sectieTestrichtlijnen.
  • Uw toepassing wordt beïnvloed, maar kan niet op tijd worden gewijzigd. Voor interne sites kan de toepassing worden uitgesloten van het afdwingingsgedrag op dezelfde site in Chrome met de instelling LegacySameSiteCookieBehaviorEnabledForDomainList.

Als zakelijke klanten te weten komen dat de meeste van hun apps worden beïnvloed of als ze niet voldoende tijd hebben om hun apps te testen vóór de release van de functie die op 18 februari begint, worden ze aangeraden hetzelfdesitegedrag uit te schakelen op computers waarop ze van toepassing zijn. Ze kunnen dit doen met groepsbeleid, System Center Configuration Manager of Microsoft Intune (of een software voor mobiel apparaatbeheer) totdat ze kunnen controleren of het nieuwe gedrag geen basisscenario's in hun apps doorbreekt.

Google heeft de volgende ondernemingsbesturingselementen uitgebracht die kunnen worden ingesteld om het afdwingingsgedrag van SameSite in Chrome uit te schakelen:

Voor zakelijke klanten die hun toepassingen ontwikkelen op .NET Framework, raden we aan bibliotheken bij te werken en het gedrag van SameSite opzettelijk in te stellen om onvoorspelbare resultaten te voorkomen die worden veroorzaakt door de wijziging in het cookiegedrag. Zie hiervoor de richtlijnen in het volgende Artikel van Microsoft ASP.NET Blog:

Aanstaande wijzigingen in SameSite Cookie in ASP.NET en ASP.NET Core

Zie ook het volgende Google Chromium Blog-artikel voor richtlijnen voor ontwikkelaars over dit probleem:

Ontwikkelaars: Maak je klaar voor nieuwe SameSite=None; Veilige cookie-instellingen

Klanten die van invloed zijn op sites die van invloed zijn op consumenten of gebruikers die niet onder hun ondernemingsbeleid vallen, moeten deze gebruikers instrueren om een andere browser te gebruiken (Edge, Firefox, Internet Explorer) of deze gebruikers te laten zien hoe ze de instellingen in Chrome kunnen uitschakelen (zoals wordt weergegeven in de volgende sectie) terwijl ze hun toepassingen oplossen.

Testrichtlijnen

Google heeft deze richtlijnen gepubliceerd voor ontwikkelaars om zich voor te bereiden op de wijzigingen in SameSite. Daarnaast raden we u aan uw websites en apps te testen met de volgende methode.

Gebruik Chrome Beta versie 80 om de scenario's te testen:

  1. Download Chrome Beta versie 80:

  2. Start Chrome met de volgende aanvullende opdrachtregelvlag: --enable-features=SameSiteDefaultChecksMethodRigorously

  3. Schakel de samesitevlaggen in. Als u dit wilt doen, Chrome://flags typt u de adresbalk, zoekt u naar SameSite en selecteert u Ingeschakeld voor de volgende opties.

SameSite-instellingen inschakelen

Meer informatie

De webgemeenschap werkt aan een oplossing voor het misbruik van trackingcookies en vervalsing van verzoeken voor meerdere websites via een standaard die samesite wordt genoemd.

Het Chrome-team had plannen aangekondigd om een wijziging in het standaardgedrag van de samesite-functionaliteit uit te rollen vanaf een release van Chrome versie 78 Beta op 18 oktober 2019. Deze implementatie wordt verplaatst naar versie 80 van Chrome op 4 februari 2020. Deze wijziging helpt de beveiliging van het web te verbeteren. Er worden echter ook verificatiestromen doorbreekt die zijn gebaseerd op de OpenID Connect-standaard. Daarom werken bekende verificatiepatronen niet.

De Chrome-versie controleren

Als u vermoedt dat uw gebruikers een Chrome-versie 76 of een nieuwere versie gebruiken die SameSite heeft ingeschakeld, kunt u het versienummer controleren door naar of door het pictogram Chrome-instellingen te selecteren en vervolgens chrome://settings/help Help over Google Chrome > te selecteren.

Chrome-versie controleren in Over Google Chrome

Voor de 77-79 versies van Chrome controleert u in de browser of de Chrome://flags vlaggen zijn ingeschakeld. De standaardinstelling wordt in Chrome versie 80 bij een uitgebrachte release gewijzigd.

Disclaimerinformatie van derden

De producten van derden die in dit artikel worden vermeld, worden vervaardigd door bedrijven die onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten.

Disclaimerinformatie van derden

Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder voorafgaande kennisgeving worden gewijzigd. Microsoft kan niet instaan voor de juistheid van deze contactinformatie.