• はてなブックマーク
  • テクノロジー
  • Chrome 80が密かに呼び寄せる地獄 ~ SameSite属性のデフォルト変更を調べてみた - Qiita
  • Twitterでシェア
  • Facebookでシェア

Chrome 80が密かに呼び寄せる地獄 ~ SameSite属性のデフォルト変更を調べてみた - Qiita

テクノロジー カテゴリーの変更を依頼 記事元:qiita.com/ahera
適切な情報に変更
496 usersがブックマーク コメント46

    記事へのコメント46

    • 注目コメント
    • 新着コメント
    memoyashi
    memoyashi 分かりやすくまとめてある。ありがとうございます

    2020/02/02 リンク

    その他
    quabbin
    quabbin これなぁ。面白いのは、doubleclickのcookieもSameSite属性がNoneでSecureがoffになってるのよね。移行悩ましいんだろうな

    2020/02/02 リンク

    その他
    T-miura
    T-miura まあ、“CSRF”が楽に防げる話なので、いい話じゃね?

    2020/02/02 リンク

    その他
    ockeghem
    ockeghem 中途半端に古いブラウザに対応する手間を考えるとこれは確かに地獄だ

    2020/07/08 リンク

    その他
    tettekete37564
    tettekete37564 CSRF 対策としてはごく限定的であるにもかかわらず、ちゃんと CSRF 対策やっているサイトが金銭的被害を被るのをヨシとするのが Google か。RFC6265bis-03 も Google がオーサーで我田引水で酷い。

    2021/05/14 リンク

    その他
    uunfo
    uunfo Chromium利用のEdgeもすでにLaxになっているっぽい。Firefoxはまだβユーザーのみか。PHPのsession.cookie_samesiteは7.3.0以降のみ。

    2020/12/03 リンク

    その他
    paradisemaker
    paradisemaker これ結構エグいな

    2020/11/20 リンク

    その他
    uzulla
    uzulla 気軽にstrictするとOpenIdやOAuthもうごかんからな…。

    2020/07/09 リンク

    その他
    ockeghem
    ockeghem 中途半端に古いブラウザに対応する手間を考えるとこれは確かに地獄だ

    2020/07/08 リンク

    その他
    web-engineer
    web-engineer ITP周り

    2020/04/24 リンク

    その他
    ginpei
    ginpei 元々あったCSRF対策、CookieのSameSite属性。Chrome 80から初期値が強化され、ファーストパーティも含めCookieが飛ばない場合がある。外部決済サービスから戻ってくるような遷移が該当。

    2020/02/21 リンク

    その他
    tmatsuu
    tmatsuu どういうシーンで困るかの具体例もあってよい。

    2020/02/15 リンク

    その他
    tarchan
    tarchan >CSRF対策になります。

    2020/02/12 リンク

    その他
    igrep
    igrep “こういった外部サービスとの連携処理がエラーになります。 ECサイトであれば注文ができないことになるので損失が出る可能性が”

    2020/02/12 リンク

    その他
    secseek
    secseek 最近は開発をやってないので関係ない話ではあるんですが、ファーストパーティCookieは関係ないと思い込んでました。他サイトから遷移してきてファーストパーティCookieを送信するパターンがあり得るんですね

    2020/02/12 リンク

    その他
    ANNotunzdY
    ANNotunzdY “iOS 12とmacOS 10.14のSafariでは SameSiteにNoneもしくは無効な値を指定するとStrictとして扱われるバグがあります。”

    2020/02/07 リンク

    その他
    rryu
    rryu SAMLでAuthnRequest IDの検証をしようとするとSP側で状態を持つ必要があって、SSOで大規模な地獄が発生しそう。

    2020/02/03 リンク

    その他
    sandalot
    sandalot “)”

    2020/02/03 リンク

    その他
    enemyoffreedom
    enemyoffreedom 何だそりゃと思ったが、なるほど半ば強制的なCSRF対策か。ただ影響範囲は大きそう

    2020/02/03 リンク

    その他
    mirai-iro
    mirai-iro 当初の対応期限になってから騒ぎ出すとかちょっと、しかもここに書いてあることGoogle開発者ブログとほぼ同じというかiOS12で問題発生するという情報が欠落してるし、キータなんかより一次情報を見たほうがいい

    2020/02/03 リンク

    その他
    deokisikun
    deokisikun おんやぁ🤔

    2020/02/02 リンク

    その他
    shogo_okamoto
    shogo_okamoto わかりやすかったです。

    2020/02/02 リンク

    その他
    cs_sonar
    cs_sonar いいまとめ!サードパーティ製クッキーをブロックという内容で結構混乱してた。外部からpostしてきた時にクッキーを送信しない、と言った方がわかりやすいよね。

    2020/02/02 リンク

    その他
    mak_in
    mak_in コレ、つい最近仕事でも調べた。 某PKGのSSOが完全に動作しなかった。認証は通るんだけど、アクセス時のURLをcookieに持つ作りだったせいで、必ずトップページにリダイレクトする、という。動作確認するしかない。

    2020/02/02 リンク

    その他
    yarumato
    yarumato “導入理由:セキュリティ。CSRFとは、ログイン状態で悪意あるフォームを開くと意図せず退会など。SameSite属性変更により(POSTや画像読込では)Cookieの識別情報をユーザー本人に紐付けしない(GETならCookie使用)”

    2020/02/02 リンク

    その他
    shunt_i
    shunt_i CSRF

    2020/02/02 リンク

    その他
    nonono-notch
    nonono-notch CSRF

    2020/02/02 リンク

    その他
    wwolf
    wwolf これは影響ありそう

    2020/02/02 リンク

    その他
    endok
    endok ちょうど社内で先週ざわざわし始めたところ。外部サービスからPOSTで遷移してきた場合にセッションCookie受け取れないのはしんどい。

    2020/02/02 リンク

    その他
    mitaro
    mitaro 金曜日社内がざわざわしてたのこれか……?

    2020/02/02 リンク

    その他
    u1tnk
    u1tnk これ普通にエラーになるケースあるよなぁ…うーん

    2020/02/02 リンク

    その他
    y___u
    y___u これなー、CLBのStickySessionでAWSELB以外のCookie使ってCORSしてると影響あるんだよなあ

    2020/02/02 リンク

    その他
    shikiarai
    shikiarai 機能としては分かるのでまさかCookie使わんやろとしか言えないが、、

    2020/02/02 リンク

    その他
    T-miura
    T-miura まあ、“CSRF”が楽に防げる話なので、いい話じゃね?

    2020/02/02 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    Chrome 80が密かに呼び寄せる地獄 ~ SameSite属性のデフォルト変更を調べてみた - Qiita

    Chrome 79以下や他ブラウザのデフォルト値。 Chrome 80からこの値を設定する場合、Secure属性も必須とな...

    ブックマークしたユーザー

    • techtech05212023/05/14 techtech0521
    • carolina042021/07/31 carolina04
    • tettekete375642021/05/14 tettekete37564
    • sleepyuzura2021/04/22 sleepyuzura
    • akkun_choi2021/02/05 akkun_choi
    • John_Kawanishi2021/02/04 John_Kawanishi
    • thotentry_hatebu1972020/12/11 thotentry_hatebu197
    • uunfo2020/12/03 uunfo
    • paradisemaker2020/11/20 paradisemaker
    • nrne2020/09/17 nrne
    • Akineko2020/08/24 Akineko
    • a2ikm2020/08/21 a2ikm
    • iqm2020/08/17 iqm
    • lingling_yas2020/08/17 lingling_yas
    • opera6272020/08/05 opera627
    • pcmaster2020/07/10 pcmaster
    • herakures2020/07/09 herakures
    • uzulla2020/07/09 uzulla
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.