Google Chrome paramètre "samesite" obligatoire

saluts92 · 31 Janvier 2020

Je viens de recevoir un message d'un de mes clients professionnels qui me dit cela :
"A partir du 4 février 2020, une mise à jour de Chrome (version 80) imposera d'ajouter un paramètre "samesite" dans les cookies pour pouvoir continuer à les poser. Au passage, Google Chrome impose, pour pouvoir poser ce paramètre, de passer par un protocole sécurisé : HTTPS"

J'avoue ne jamais avoir entendu parler de cela , et vous ?

Cela veut il dire que nous devons obligatoirement passer dans l'entete :

Code:

Header always edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

? Même si le site est déjà un HTTPS ?

je n'arrive pas à trouver l'information exacte.
.

colonies · 31 Janvier 2020

Une meilleure idée serait de changer le code plutôt que de patcher ça à la volée avec Apache.

D'autre part, Chrome impose le paramètre SameSite, et ce que tu mets... ne contient pas "SameSite".
Et quitte à y aller dans les modifications de cookies, il serait peut-être bon de se demander si ça ne serait pas une opportunité de passer au préfixe __Secure- (ce qui est obligatoire si vous choisissez l'option SameSite=None, mais c'est bien de le mettre de toute façon).

https://web.dev/samesite-cookies-explained/

rick38 · 31 Janvier 2020

Il n'y a rien à changer !

(vous imaginez si tout le web devait se mettre à jour pour pouvoir continuer à poser des cookies sur Chrome à partir du 4 février...

)

Simplement, si ça n'est pas spécifié, Chrome considèrera que la valeur de samesite sera par défaut "lax" et que ce sera "secure" par défaut.

saluts92 · 31 Janvier 2020

Ok, donc il enverra systématiquement les cookies en mode sécurisé comme le ferait le header cité plus haut ?

rick38 · 1 Février 2020

Oui.
Les cookies qui seront rejetés sont ceux qui sont marqués SameSite=None sans être Secure. Mais quand on ne précise rien, Chrome met SameSite=Lax au lieu de None désormais.

Cela dit, préciser Secure c'est quand même une bonne pratique, moi je le fais à chaque création de cookie.

Johanwri · 1 Février 2020

Ca rentre dans la politique de Google annoncee le 14 Janvier d'elimiiner les cookies tiers de Chrome
https://techcrunch.com/2020/01/14/g...ird-party-cookies-in-chrome-within-two-years/

Detail de mise a jour SameSite sur https://www.chromium.org/updates/same-site

saluts92 · 3 Février 2020

rick38 a dit:
Cela dit, préciser Secure c'est quand même une bonne pratique, moi je le fais à chaque création de cookie.

a quel niveau mets tu ce paramètre concrètement stp ?

saluts92 · 4 Février 2020

rick38 a dit:
Il n'y a rien à changer !

si pour ceux qui ne seraient pas encore en httpS !!

rick38 · 4 Février 2020

saluts92 a dit:
si pour ceux qui ne seraient pas encore en httpS !!

J'ai considéré qu'ils n'existent plus

saluts92 a dit:
a quel niveau mets tu ce paramètre concrètement stp ?

Ben ça dépend de ce que tu utilises. Dans la fonction native de PHP que j'utilise, setcookie(), c'est le 6ème paramètre.

ortolojf · 7 Février 2020

Excusez-moi.

J'ai testé le paiement Allopass de mon site partenaire qui est encore en http.

J'ai Chrome 80.1 sous Linux Fedora 31 64 bits.

Cà passe, les cookies tiers pour Allopass figurent dans les paramètres.

Merci beaucoup.

saluts92 · 5 Mars 2020

ortolojf a dit:
à passe, les cookies tiers pour Allopass figurent dans les paramètres

oui, je constate aussi que Google n'a rien fait malgré son annonce depuis la version 80 de Chrome

saluts92 · 11 Mars 2020

bjr,
j'ai un cas que je n'arrive pas à résoudre depuis le passage à Chrome 80

j'offre un Widget javascript à mes utilisateurs qu'ils glissent dans la barre d'outils de leur navigateur (ordinateur de bureau uniquement)
il navigue sur un site (différent du mien) lorsqu'il clic sur cet widget une fenetre apparait, ils doivent se signer, ...
AVANT la mise à hour chrome 80 : à chaque clic suivant, l'utilisateur n'avait pas besoin de se ressigner : l'ID de Session était toujours le même

APRES la mise à jour chrome 80 : l'ID de Session change systématiquement : j'ai fait pas mal de test je ne sais pas agir pour rétablir la situation

pour info : ça continue de fonctionner correctement sur Firefox

dans mon htaccess j'ai :

Code:

    Header always edit Set-Cookie ^(.*)$ "$1;HttpOnly;Secure"

une idée svp ?

rick38 · 6 Avril 2020

Suite au Covid, Chrome annule tout ça et reporte à plus tard.

https://blog.chromium.org/2020/04/temporarily-rolling-back-samesite.html

saluts92 · 6 Avril 2020

@rick38 effectivement je confirme le retour arrière, je viens de faire un test (Version 80.0.3987.149 (Build officiel) (64 bits))

saluts92 · 5 Juillet 2020

Après quelques tests, Même si le site est déjà en httpS (sécurisé),
si vous laissez samesite=None (ou rien) il faut obligatoirement rajouter Secure pour chaque cookie

voir aussi source Google : https://www.chromestatus.com/feature/5633521622188032