Efeito nos websites dos clientes e nos serviços e produtos da Microsoft na versão 80 ou posterior do Chrome

Nota

O Office 365 ProPlus está a ser renomeado para Aplicações do Microsoft 365 para empresas. Para obter mais informações sobre essa alteração, leia este post no blog.

Nota

Anteriormente, este artigo referia-se à versão 79 do Google Chrome Beta. A Google está agendada para lançar um comportamento de cookies na versão 80 do Chrome Stable. O Chrome atualizou a sua linha de tempo de lançamento para indicar que esta mudança será lançada no Chrome 80 a partir da semana de 17 de fevereiro. O Chrome 80 será lançado no dia 4 de fevereiro e tem esta funcionalidade desativada por padrão. A funcionalidade será ativada numa programação graduada a partir de 17 de fevereiro.

Resumo

O lançamento estável do navegador Web Google Chrome (build 80, com lançamento previsto para 4 de fevereiro de 2020) irá lançar uma alteração ao comportamento padrão dos cookies a partir da semana de 17 de fevereiro. Embora a alteração se destine a desencorajar o rastreio malicioso de cookies e proteger aplicações web, também é esperado que afete muitas aplicações e serviços que se baseiam em padrões abertos. Isto inclui os serviços na nuvem da Microsoft.

Os clientes empresariais são encorajados a certificar-se de que estão preparados para a mudança e estão prontos para implementar mitigações testando as suas aplicações (sejam desenvolvidas ou adquiridas sob medida). Para mais informações, consulte a secção "Recomendações".

A Microsoft está empenhada em lidar com esta mudança de comportamento nos seus produtos e serviços antes da data de lançamento do Chrome 80. Este artigo discute a orientação da Microsoft e da Google para a instalação das várias atualizações que são necessárias para produtos e bibliotecas, bem como as orientações para testes e preparação. No entanto, é igualmente importante que teste as suas próprias aplicações contra esta mudança no comportamento do Chrome e prepare os seus próprios websites e aplicações web conforme necessário.

Efeito nas aplicações do cliente

Todos os serviços da Microsoft Cloud estão atualizados para cumprir os novos requisitos feitos pelo Chrome, mas algumas outras aplicações ainda podem ser afetadas. Consulte a secção "Recomendações" para alguns produtos do servidor que exigirão atualização por parte dos clientes.

Deve testar cuidadosamente todas as aplicações utilizando a versão 80 do Chrome Beta para verificar o efeito desta alteração. Esperamos que problemas semelhantes aos problemas que este artigo descreve venham a afetar as suas aplicações. Isto é especialmente verdade para aplicações que usam qualquer plataforma web ou tecnologia que se baseia na partilha de cookies de domínio transversal, como aplicações que estão incorporadas em outras apps.

As versões Chrome 78 e 79 betas têm uma melhoria que atrasa o atributo SameSite:Lax por dois minutos. No entanto, a utilização destas versões para testes pode mascarar outros problemas. Por isso, recomendamos que teste utilizando a versão 80 do Chrome, tendo as bandeiras específicas ativadas. Ao menos, pode ajudá-lo a descobrir o efeito para que possa determinar o seu melhor plano. Para obter mais informações, consulte a secção "Diretrizes de Teste".

O navegador Microsoft Edge no Chromium (versão 80) não será afetado por estas alterações do SameSite. Pode ler a documentação edge para ver o plano atual de adaptação desta mudança.

Recomendações

Os clientes da Microsoft que utilizam serviços da Federação de Diretórios Ativos (AD FS) ou Proxy de aplicações web devem implementar uma das seguintes atualizações do Windows Server:

Produto Artigo do KB Data de Lançamento
Windows Server 2019 KB 4534273 14 de janeiro de 2020
Windows Server 2016 KB 4534271 14 de janeiro de 2020
Windows Server 2012 R2 KB 4534309 14 de janeiro de 2020

Os seguintes servidores ou produtos clientes da Microsoft também devem ser atualizados. As atualizações serão adicionadas a este artigo quando estiverem disponíveis. Recomendamos que reveja este artigo regularmente para as últimas atualizações.

Produto Artigo do KB Data de Lançamento
Servidor de Troca 2019 KB 4537677 17 de março de 2020
Servidor de Troca 2016 KB 4537678 17 de março de 2020
Project Server 2013 KB 4484360 12 de maio de 2020
Project Server 2010 KB 4484388 12 de maio de 2020
SharePoint Foundation 2013 KB 4484364
(Atualização Cumulativa: KB 4484358) 1
12 de maio de 2020
SharePoint Foundation 2010 KB 4484386 27 de abril de 2020
SharePoint Server 2019 KB 4484259 11 de fevereiro de 2020
SharePoint Server 2016 KB 4484272 10 de março de 2020
SharePoint Server 2013 KB 4484362 12 de maio de 2020
SharePoint Server 2010 KB 4484389 12 de maio de 2020
Skype para Business Server 2019 Próxima atualização cumulativa do final do verão de 2020 (provisória)
Skype para Business Server 2015 Atualização Cumulativa de abril de 2020 (CU 11)

1 Esta Atualização Cumulativa contém a correção para o problema de cookies SameSite, além de correções adicionais não relacionadas com o problema de cookies SameSite. A Microsoft recomenda instalar a Atualização Cumulativa em vez da atualização individual para garantir que o seu ambiente tem todas as correções disponíveis no momento em que a Atualização Cumulativa foi lançada.

Deve testar as suas aplicações para todos os seguintes cenários e determinar o plano adequado com base no resultado dos testes:

  • A sua aplicação não é afetada pelas alterações do SameSite. Neste caso, não há nenhuma ação a tomar.
  • A sua aplicação está afetada, mas os seus desenvolvedores de software podem fazer a alteração a tempo de utilizar as definições de cookies SameSite:Nenhum. Neste caso, deverá alterar a sua aplicação seguindo a orientação do desenvolvedor na secção "Diretrizes de Teste".
  • A sua aplicação é afetada, mas não pode ser alterada a tempo. Para sites internos, a aplicação pode ser excluída do comportamento de aplicação sameSite no Chrome utilizando a definição LegacySameSiteCookieBehaviorEnabledForDomainList.

Se os clientes empresariais souberem que a maioria das suas aplicações são afetadas, ou se não tiverem tempo suficiente para testar as suas apps antes do lançamento graduado da funcionalidade a partir de 18 de fevereiro, são encorajados a desativar o comportamento do SameSite nos computadores que governam. Podem fazê-lo utilizando a Política de Grupo, o Gestor de Configuração do Sistema ou o Microsoft Intune (ou qualquer software de Gestão de Dispositivos Móveis) até que possam verificar se o novo comportamento não quebra cenários básicos nas suas apps.

A Google lançou os seguintes controlos empresariais que podem ser definidos para desativar o comportamento de aplicação sameSite no Chrome:

Para os clientes empresariais que desenvolvem as suas aplicações no .NET Framework, recomendamos que atualizem as bibliotecas e desemotiam intencionalmente o comportamento do SameSite para evitar resultados imprevisíveis que são causados pela alteração do comportamento dos cookies. Para isso, consulte a orientação no seguinte artigo do Microsoft ASP.NET Blog:

Próximas alterações de cookies sameSite no ASP.NET e ASP.NET Core

Consulte também o seguinte artigo do Google Chromium Blog para orientação do programador sobre este assunto:

Desenvolvedores: Prepare-se para o Novo SameSite=Nenhum; Definições de cookies seguras

Os clientes que tenham afetado sites que impactem consumidores ou utilizadores que não estejam abrangidos pelas suas políticas da Enterprise devem instruir esses utilizadores a utilizarem um navegador diferente (Edge, Firefox, Internet Explorer) ou a passearem esses utilizadores através da forma de desativar as definições no Chrome (como mostrado na secção seguinte) enquanto corrigem as suas aplicações.

Diretrizes de testes

A Google publicou esta orientação para os desenvolvedores se prepararem para as mudanças sameSite. Além disso, recomendamos que teste seus sites e aplicativos usando a seguinte abordagem.

Utilize a versão 80 do Chrome Beta para testar os cenários:

  1. Baixar a versão 80 do Chrome Beta:

  2. Inicie o Chrome utilizando a seguinte bandeira adicional da linha de comando:--enable-features=SameSiteDefaultChecksMethodRigorously

  3. Ativar as bandeiras do SameSite. Para isso, digite Chrome://flags na barra 'Endereço', procure o SameSitee, em seguida, selecione Ativado para as seguintes opções.

Ativar as definições do SameSite

Mais informações

A comunidade web está a trabalhar numa solução para resolver o uso abusivo de cookies de rastreio e falsificação de pedidos de sites através de um padrão conhecido como SameSite.

A equipa do Chrome tinha anunciado planos para lançar uma mudança no comportamento padrão da funcionalidade SameSite a partir de um lançamento da versão 78 Beta do Chrome a 18 de outubro de 2019. Este lançamento será transferido para o lançamento da versão 80 do Chrome a 4 de fevereiro de 2020. Esta mudança ajuda a melhorar a segurança da web. No entanto, também quebra fluxos de autenticação baseados na norma OpenID Connect. Portanto, padrões bem estabelecidos de autenticação não funcionarão.

Verificando a versão Do Chrome

Se suspeitar que os seus utilizadores estão a utilizar uma versão 76 do Chrome ou uma versão posterior que tenha o SameSite ativado, pode verificar o número da versão navegando chrome://settings/help para ou selecionando o ícone de definições do Chrome e, em seguida, selecionando ajudasobre o > Google Chrome.

Verificando a versão do Chrome no Google Chrome

Para as versões 77-79 do Chrome, consulte Chrome://flags o navegador para ver se têm as bandeiras ativadas. O padrão de definição começará a ser alterado na versão 80 do Chrome numa versão graduada.

Isenção de informação de terceiros

Os produtos de terceiros que este artigo discute são fabricados por empresas independentes da Microsoft. A Microsoft não faz qualquer garantia, implícita ou não, sobre o desempenho ou fiabilidade destes produtos.

A Microsoft fornece informações de contacto de terceiros para o ajudar a encontrar informações adicionais sobre este tópico. Esta informação de contacto pode ser alterada sem aviso prévio. A Microsoft não garante a precisão das informações de contacto de terceiros.