Efeito em sites de clientes e serviços e produtos Microsoft no Chrome, versão 80 ou posterior
Nota
Anteriormente, este artigo fazia referência ao Google Chrome Beta, versão 79. O Google está programado para lançar um comportamento de cookie no Chrome Stable, versão 80. O Chrome atualizou a sua linha cronológica de implementação para indicar que essa mudança será implementada no Chrome 80 a partir da semana de 17 de fevereiro. O Chrome 80 será lançado a 4 de fevereiro e terá essa funcionalidade desativada por padrão. A funcionalidade será ativada numa programação gradual a partir de 17 de fevereiro.
Resumo
O lançamento Stable do browser Google Chrome (build 80, com lançamento previsto para 4 de fevereiro de 2020) irá implementar uma mudança no comportamento do cookie padrão a partir da semana de 17 de fevereiro. Embora a alteração pretenda desencorajar o rastreamento de cookies maliciosos e proteger as aplicações da web, também se espera que afete muitas aplicações e serviços baseados em padrões abertos. Isso inclui os serviços em nuvem da Microsoft.
Os clientes empresariais são incentivados a certificar-se de que estão preparados para a mudança e para implementar as atenuações ao testar as suas aplicações (desenvolvidas de forma personalizada ou adquiridas). Para obter mais informações, consulte a secção "Recomendações".
A Microsoft está empenhada em abordar essa mudança de comportamento nos seus produtos e serviços antes da data de lançamento do Chrome 80. Este artigo discute a orientação da Microsoft e da Google para instalar as várias atualizações necessárias para produtos e bibliotecas e a orientação para testes e preparação. No entanto, é igualmente importante que teste as suas próprias aplicações em relação a essa mudança no comportamento do Chrome e prepare os seus próprios sites e aplicações da web conforme necessário.
Efeito nas aplicações do cliente
Nota
Se não puder rever as permissões ao tentar ativar uma sandbox do Microsoft Learn, lime os dados de navegação navegando para chrome://settings/clearBrowserData.
Todos os serviços da Microsoft Cloud são atualizados para cumprir com os novos requisitos feitos pelo Chrome, mas algumas outras aplicações ainda podem ser afetadas. Verifique a secção "Recomendações" para obter informação sobre alguns produtos de servidor que exigirão atualização por parte dos clientes.
Deve testar completamente todas as aplicações ao usar o Chrome Beta, versão 80 para verificar o efeito dessa mudança. Esperamos que problemas semelhantes aos descritos neste artigo afetem as suas aplicações Isso é especialmente verdade para aplicações que usam qualquer plataforma da web ou tecnologia que depende da partilha de cookies entre domínios, como aplicações que são incorporadas em outras aplicações.
As versões 78 e 79 betas do Chrome têm uma melhoria que atrasa a SameSite:Laxaplicação de atributos em dois minutos. No entanto, o uso dessas versões para teste pode mascarar outros problemas. Portanto, recomendamos que teste ao usar o Chrome versão 80, tendo sinalizadores específicos ativados. Fazer isso pode, pelo menos, ajudá-lo a descobrir o efeito para que possa determinar o seu melhor plano. Para mais informações, consulte a secção Diretrizes de testes.
O browser Microsoft Edge no Chromium (versão 80) não será afetado por essas alterações no SameSite. Pode ler a documentação do Edge para ver o plano atual para adaptar esta mudança.
Recomendações
Os clientes da Microsoft que usam o Active Directory Federation Services (AD FS) ou Web Application Proxy devem implementar uma das seguintes atualizações do Windows Server:
| Produto | Artigo da Base de Dados de Conhecimento | Data de lançamento |
|---|---|---|
| Windows Server 2019 | KB 4534273 | 14 de janeiro de 2020 |
| Windows Server 2016 | KB 4534271 | 14 de janeiro de 2020 |
| Windows Server 2012 R2 | KB 4534309 | 14 de janeiro de 2020 |
Os seguintes produtos de servidor ou cliente da Microsoft também devem ser atualizados. As atualizações serão adicionadas a este artigo quando estiverem disponíveis. Recomendamos que consulte este artigo regularmente para obter as atualizações mais recentes.
| Produto | Artigo da Base de Dados de Conhecimento | Data de lançamento |
|---|---|---|
| Exchange Server 2019 | KB 4537677 | 17 de março de 2020 |
| Exchange Server 2016 | KB 4537678 | 17 de março de 2020 |
| Project Server 2013 | KB 4484360 | 12 de maio de 2020 |
| Project Server 2010 | KB 4484388 | 12 de maio de 2020 |
| SharePoint Foundation 2013 | KB 4484364 (Atualização cumulativa: KB 4484358)1 |
12 de maio de 2020 |
| SharePoint Foundation 2010 | KB 4484386 | 27 de abril de 2020 |
| SharePoint Server 2019 | KB 4484259 | 11 de fevereiro de 2020 |
| SharePoint Server 2016 | KB 4484272 | 10 de março de 2020 |
| SharePoint Server 2013 | KB 4484362 | 12 de maio de 2020 |
| SharePoint Server 2010 | KB 4484389 | 12 de maio de 2020 |
| Skype para Empresas Server 2019 | KB 4549672 (Atualização cumulativa: KB 4582629)1 |
Atualização cumulativa de setembro de 2020 (CU 4) |
| Skype para Empresas Server 2015 | KB 4549672 (Atualização cumulativa: KB 4558387)1 |
Atualização cumulativa de maio de 2020 (CU 11) |
Nota
1 Esta Atualização Cumulativa contém a correção para o problema do cookie SameSite, além de correções adicionais não relacionadas ao problema do cookie SameSite. A Microsoft recomenda instalar a Atualização Cumulativa em vez da atualização individual para garantir que o seu ambiente tenha todas as correções disponíveis no momento em que a Atualização Cumulativa foi lançada.
Deve testar as suas aplicações para todos os seguintes cenários e determinar o plano apropriado com base no resultado dos testes:
- A sua aplicação não é afetado pelas alterações do SameSite. Neste caso, não há ação a ser executada.
- A sua aplicação foi afetada, mas os seus programadores de software podem fazer a mudança a tempo de usar as definições de cookies SameSite:None. Neste caso, deve alterar a sua aplicação seguindo as orientações do programador na secção "Diretrizes de teste".
- A sua aplicação foi afetada, mas não pode ser alterada a tempo. Para sites internos, a aplicação pode ser excluída do comportamento de aplicação do SameSite no Chrome ao usar a definição LegacySameSiteCookieBehaviorEnabledForDomainList.
Se os clientes empresariais descobrirem que a maioria das suas aplicações é afetada ou se não tiverem tempo suficiente para testá-las antes do lançamento gradual do recurso a partir de 18 de fevereiro, eles serão incentivados a desativar o comportamento do SameSite nos computadores que controlam. Eles podem fazer isso ao usar a Política de Grupo, o System Center Configuration Manager ou o Microsoft Intune (ou qualquer software de gestão de dispositivo móvel) até que possam verificar se o novo comportamento não interrompe os cenários básicos nas suas aplicações.
A Google lançou os seguintes controlos empresariais que podem ser definidos para desativar o comportamento de aplicação do SameSite no Chrome:
- LegacySameSiteCookieBehaviorEnabled, que ativa ou desativa essa alteração.
- LegacySameSiteCookieBehaviorEnabledForDomainList, que permite ao Chrome desativar esta política em domínios específicos.
Para clientes empresariais que desenvolvem as suas aplicações no .NET Framework, recomendamos que atualizem as bibliotecas e definam o comportamento do SameSite intencionalmente para evitar resultados imprevisíveis causados pela mudança no comportamento do cookie. Para fazer isto, veja o seguinte artigo de orientação no blog Microsoft ASP.NET:
Próximas alterações de cookies do SameSite no ASP.NET e ASP.NET Core
Além disso, consulte o seguinte artigo do blog do Google Chromium para obter orientações para programadores sobre esse problema:
Programadores: Prepare-se para o novo SameSite=None; Definições seguras de cookies
Os clientes que têm sites que afetam os consumidores ou utilizadores que não são cobertos pelas suas políticas empresariais devem instruir esses utilizadores a usar um browser diferente (Edge, Firefox, Internet Explorer) ou orientar esses utilizadores sobre como desativar as definições no Chrome (conforme mostrado na próxima secção) enquanto corrigem as suas aplicações.
Diretrizes de testes
A Google publicou esta orientação para os programadores se prepararem para as mudanças no SameSite. Além disso, recomendamos que teste os seus sites e aplicações com a seguinte abordagem.
Use o Chrome Beta, versão 80 para testar os cenários:
Transfira o Chrome Beta, versão 80:
- Para Windows 64 bits: Canal beta para Windows (64 bits)
- Para Windows 32 bits: Canal beta para Windows (32 bits)
Inicie o Chrome com a seguinte sinalização de linha de comando adicional:
--enable-features=SameSiteDefaultChecksMethodRigorouslyAtive os sinalizadores do SameSite. Para fazer isso, escreva chrome://flags na barra de endereço, pesquise SameSite e selecione Ativado para as seguintes opções.
Mais informações
A comunidade da web está a trabalhar numa solução para lidar com o uso abusivo de cookies de rastreamento e falsificação de solicitação entre sites por meio de um padrão conhecido como SameSite.
A equipa do Chrome anunciou planos para lançar uma mudança no comportamento padrão da funcionalidade SameSite a partir do lançamento do Chrome, versão 78 Beta em 18 de outubro de 2019. Esta implementação será movida para o lançamento do Chrome, versão 80 em 4 de fevereiro de 2020. Essa mudança ajuda a melhorar a segurança na web. No entanto, também interrompe os fluxos de autenticação baseados no padrão OpenID Connect. Portanto, padrões de autenticação bem estabelecidos não funcionarão.
Verificar a versão do Chrome
Se suspeita que os seus utilizadores estão a usar uma versão do Chrome 76 ou posterior com o SameSite ativado, pode verificar o número da versão navegando até chrome://settings/helpou ao selecionar o ícone de definições do Chrome e, em seguida, selecionar Ajuda>Sobre Google Chrome.
Para as versões 77-79 do Chrome, navegue até chrome://flagspara ver se os sinalizadores estão ativados. A definição padrão começará a mudar na no Chrome, versão 80 numa versão gradual.
Informação sobre exclusão de responsabilidade de terceiros
Os produtos de terceiros referidos neste artigo são fabricados por empresas independentes da Microsoft. A Microsoft não concede qualquer garantia, implícita ou de outra natureza, relativamente ao desempenho ou à fiabilidade destes produtos.
Exclusão de responsabilidade de contacto de terceiros
A Microsoft fornece informações de contacto de terceiros para o ajudar a localizar suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. A Microsoft não garante a exatidão destas informações de contacto de terceiros.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários