Auswirkung auf Kunden-Websites und Microsoft-Dienste und -Produkte in Chrome, Version 80 oder höher
Hinweis
Zuvor verwies dieser Artikel auf die Beta-Version 79 von Google Chrome. Google wird voraussichtlich ein Cookie-Verhalten in Chrome Stable Version 80 veröffentlichen. Der Rollout-Zeitplan für Chrome wurde aktualisiert um darauf hinzuweisen, dass diese Änderung ab der Woche des 17. Februar in Chrome 80 eingeführt wird. Chrome 80 wird am 4. Februar ausgeliefert, und diese Funktion ist standardmäßig deaktiviert. Die Funktion wird ab dem 17. Februar nach einem abgestuften Zeitplan aktiviert.
Zusammenfassung
Die stabile Version des Google Chrome-Webbrowsers (Build 80, geplant für den 4. Februar 2020) wird ab der Woche vom 17. Februar eine Änderung des standardmäßigen Cookie-Verhaltens einführen. Obwohl die Änderung das Verfolgen bösartiger Cookies verhindern und Webanwendungen schützen soll, wird sie voraussichtlich auch viele Anwendungen und Dienste betreffen, die auf offenen Standards basieren. Dazu gehören Microsoft Cloud-Dienste.
Unternehmenskunden wird empfohlen, sicherzustellen, dass sie auf die Änderung vorbereitet sind und bereit sind, Gegenmaßnahmen zu implementieren, indem sie ihre Anwendungen (egal ob kundenspezifisch entwickelt oder gekauft) testen. Weitere Informationen finden Sie im Abschnitt „Empfehlungen“.
Microsoft ist bestrebt, diese Verhaltensänderung in seinen Produkten und Diensten vor dem Veröffentlichungsdatum von Chrome 80 zu beheben. In diesem Artikel werden die Anleitungen von Microsoft und Google zum Installieren der verschiedenen Updates beschrieben, die für Produkte und Bibliotheken erforderlich sind, sowie die Anleitung zum Testen und Vorbereiten. Es ist jedoch ebenso wichtig, dass Sie Ihre eigenen Anwendungen in Bezug auf diese Änderung des Chrome-Verhaltens testen und Ihre eigenen Websites und Webanwendungen nach Bedarf vorbereiten.
Auswirkung auf Kundenanwendungen
Hinweis
Wenn Sie beim Versuch, eine Microsoft Learn-Sandbox zu aktivieren, die Berechtigungen nicht überprüfen können, löschen Sie die Browserdaten, indem Sie zu chrome://settings/clearBrowserDatanavigieren.
Alle Microsoft Cloud-Dienste werden aktualisiert, um die neuen Anforderungen von Chrome zu erfüllen, aber einige andere Anwendungen können weiterhin betroffen sein. Im Abschnitt „Empfehlungen“ finden Sie einige Serverprodukte, die von Kunden aktualisiert werden müssen.
Sie sollten alle Anwendungen gründlich testen, indem Sie Chrome Beta Version 80 verwenden, um die Auswirkungen dieser Änderung zu überprüfen. Wir gehen davon aus, dass sich ähnliche Probleme wie die in diesem Artikel beschriebenen auf Ihre Anwendungen auswirken. Dies gilt insbesondere für Anwendungen, die eine beliebige Webplattform oder Technologie verwenden, die auf die domänenübergreifende Cookie-Freigabe angewiesen ist, wie z. B. Apps, die in andere Apps eingebettet sind.
Die Betaversionen der Chrome-Versionen 78 und 79 haben eine Verbesserung, die die SameSite:LaxAttributdurchsetzung für zwei Minuten verzögert. Die Verwendung dieser Versionen zum Testen kann jedoch andere Probleme verschleiern. Daher empfehlen wir Ihnen, mit Chrome Version 80 zu testen, indem Sie bestimmte Flags aktivieren. Dies kann Ihnen zumindest helfen, den Effekt zu entdecken, damit Sie Ihren besten Plan bestimmen können. Weitere Informationen finden Sie im Abschnitt „Richtlinien zum Testen“.
Der Microsoft Edge-Browser auf Chromium (Version 80) ist von diesen SameSite-Änderungen nicht betroffen. Sie können die Edge-Dokumentation lesen, um den aktuellen Plan zur Anpassung dieser Änderung zu sehen.
Empfehlungen
Microsoft-Kunden, die Active Directory-Verbunddienste (AD FS) oder den Webanwendungsproxy verwenden, müssen eines der folgenden Windows Server-Updates bereitstellen:
| Produkt | KB-Artikel | Veröffentlichungsdatum |
|---|---|---|
| Windows Server 2019 | KB 4534273 | Dienstag, 14. Januar 2020 |
| Windows Server 2016 | KB 4534271 | Dienstag, 14. Januar 2020 |
| Windows Server 2012 R2 | KB 4534309 | Dienstag, 14. Januar 2020 |
Die folgenden Microsoft Server- oder Clientprodukte müssen ebenfalls aktualisiert werden. Die Updates werden diesem Artikel hinzugefügt, sobald sie verfügbar sind. Wir empfehlen Ihnen, diesen Artikel regelmäßig zu lesen, um die neuesten Updates zu erhalten.
| Produkt | KB-Artikel | Veröffentlichungsdatum |
|---|---|---|
| Exchange Server 2019 | KB 4537677 | Dienstag, 17. März 2020 |
| Exchange Server 2016 | KB 4537678 | Dienstag, 17. März 2020 |
| Project Server 2013 | KB 4484360 | Dienstag, 12. Mai 2020 |
| Project Server 2010 | KB 4484388 | Dienstag, 12. Mai 2020 |
| SharePoint Foundation 2013 |
KB 4484364 (Kumulatives Update: KB 4484358)1 |
Dienstag, 12. Mai 2020 |
| SharePoint Foundation 2010 | KB 4484386 | Montag, 27. April 2020 |
| SharePoint Server 2019 | KB 4484259 | Dienstag, 11. Februar 2020 |
| SharePoint Server 2016 | KB 4484272 | Dienstag, 10. März 2020 |
| SharePoint Server 2013 | KB 4484362 | Dienstag, 12. Mai 2020 |
| SharePoint Server 2010 | KB 4484389 | Dienstag, 12. Mai 2020 |
| Skype for Business Server 2019 |
KB 4549672 (Kumulatives Update: KB 4582629)1 |
Kumulatives Update vom September 2020 (CU 4) |
| Skype for Business Server 2015 |
KB 4549672 (Kumulatives Update: KB 4558387)1 |
Kumulatives Update vom Februar 2020 (CU 11) |
Hinweis
1 Dieses kumulative Update enthält den Fix für das SameSite-Cookie-Problem sowie zusätzliche Fixes, die nichts mit dem SameSite-Cookie-Problem zu tun haben. Microsoft empfiehlt, das kumulative Update anstelle des einzelnen Updates zu installieren, um sicherzustellen, dass in Ihrer Umgebung alle Fixes zum Zeitpunkt der Veröffentlichung des kumulativen Updates verfügbar waren.
Sie müssen Ihre Anwendungen für alle folgenden Szenarien testen und basierend auf den Ergebnissen der Tests den geeigneten Plan festlegen:
- Ihre Anwendung ist von den SameSite-Änderungen nicht betroffen. In diesem Fall sind keine Maßnahmen zu ergreifen.
- Ihre Anwendung ist betroffen, aber Ihre Softwareentwickler können die Änderung rechtzeitig vornehmen, um die Cookie-Einstellungen SameSite:None zu verwenden. In diesem Fall sollten Sie Ihre Anwendung ändern, indem Sie die Entwickleranleitung im Abschnitt „Richtlinien zum Testen“ befolgen.
- Ihre Anwendung ist betroffen, kann aber nicht rechtzeitig geändert werden. Bei internen Websites kann die Anwendung vom SameSite-Erzwingungsverhalten in Chrome ausgeschlossen werden, indem Sie die Einstellung LegacySameSiteCookieBehaviorEnabledForDomainList verwenden.
Wenn Unternehmenskunden erfahren, dass die meisten ihrer Apps betroffen sind, oder wenn sie nicht genug Zeit haben, ihre Apps vor der abgestuften Veröffentlichung der Funktion ab dem 18. Februar zu testen, wird ihnen empfohlen, das SameSite-Verhalten auf den von ihnen verwalteten Computern zu deaktivieren. Sie können dies mithilfe von Gruppenrichtlinien, System Center Configuration Manager oder Microsoft Intune (oder einer beliebigen Software zur Verwaltung mobiler Geräte) tun, bis sie überprüfen können, ob das neue Verhalten grundlegende Szenarien in ihren Apps nicht beeinträchtigt.
Google hat die folgenden Unternehmenskontrollen veröffentlicht, die so eingestellt werden können, dass das SameSite-Erzwingungsverhalten in Chrome deaktiviert wird:
- LegacySameSiteCookieBehaviorEnabled, was diese Änderung aktiviert oder deaktiviert.
- LegacySameSiteCookieVerhaltenEnabledForDomainList, wodurch Chrome diese Richtlinie für bestimmte Domänen deaktivieren kann.
Unternehmenskunden, die ihre Anwendungen auf .NET Framework entwickeln, empfehlen wir, Bibliotheken zu aktualisieren und das SameSite-Verhalten absichtlich festzulegen, um unvorhersehbare Ergebnisse zu vermeiden, die durch die Änderung des Cookie-Verhaltens verursacht werden. Lesen Sie dazu die Anleitung im folgenden Microsoft ASP.NET Blog-Artikel:
Bevorstehende Änderungen an SameSite-Cookies in ASP.NET und ASP.NET Core
Weitere Informationen für Entwickler zu diesem Problem finden Sie auch im folgenden Google Chromium-Blogartikel:
Entwickler: Machen Sie sich bereit für neue sichere Cookie-Einstellungen mit SameSite=None
Kunden mit betroffenen Websites, die sich auf Verbraucher oder Benutzer auswirken, die nicht unter ihre Unternehmensrichtlinien fallen, müssen diese Benutzer anweisen, einen anderen Browser (Edge, Firefox, Internet Explorer) zu verwenden, oder diese Benutzer durch die Deaktivierung der Einstellungen in Chrome führen (wie im nächsten Abschnitt gezeigt), bis sie ihre Anwendungen repariert haben.
Richtlinien zum Testen
Google hat diese Anleitung für Entwickler veröffentlicht, um sich auf die SameSite-Änderungen vorzubereiten. Darüber hinaus empfehlen wir Ihnen, Ihre Websites und Apps mit dem folgenden Ansatz zu testen.
Verwenden Sie die Chrome-Betaversion 80, um die Szenarien zu testen:
Laden Sie die Chrome-Betaversion 80 herunter:
- Für Windows 64 Bit: Beta-Kanal für Windows (64-Bit)
- Für Windows 32 Bit: Beta-Kanal für Windows (32-Bit)
Starten Sie Chrome, indem Sie das folgende zusätzliche Befehlszeilen-Flag verwenden:
--enable-features=SameSiteDefaultChecksMethodRigorouslyAktivieren Sie die SameSite-Flags. Geben Sie dazu chrom://flags in der Adressleiste ein, suchen Sie nach SameSite, und wählen Sie dann für die folgenden Optionen Aktiviert aus.
Weitere Informationen
Die Web-Community arbeitet an einer Lösung, um die missbräuchliche Verwendung von Tracking-Cookies und die Fälschung von Site-übergreifenden Anfragen durch einen Standard zu bekämpfen, der als SameSite bekannt ist.
Das Chrome-Team hatte Pläne zur Einführung einer Änderung des Standardverhaltens der SameSite-Funktionalität ab der Version 78 Beta von Chrome am 18. Oktober 2019 angekündigt. Diese Einführung wird auf die Version 80 von Chrome am 4. Februar 2020 verschoben. Diese Änderung trägt zur Verbesserung der Websicherheit bei. Sie unterbricht jedoch auch Authentifizierungsflüsse, die auf dem OpenID Connect-Standard basieren. Daher funktionieren etablierte Authentifizierungsmuster nicht.
Überprüfen der Version von Chrome
Wenn Sie vermuten, dass Ihre Nutzer eine Chrome-Version 76 oder höher verwenden, für die SameSite aktiviert ist, können Sie die Versionsnummer überprüfen, indem Sie zu chrome://settings/helpnavigieren oder indem Sie in Chrome das Einstellungssymbol auswählen und dann Hilfe>Über Google Chrome auswählen.
Navigieren Sie für die Versionen 77 bis 79 von Chrome zu chrome://flags, um zu sehen, ob die Flags aktiviert sind. Die Standardeinstellung beginnt sich in Version 80 von Chrome in einer abgestuften Version zu ändern.
Informationen zum Haftungsausschluss von Drittanbietern
Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.
Haftungsausschluss für Kontaktinformationen von Drittanbietern
Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.