Efeito em sites de clientes e serviços e produtos Microsoft no Chrome versão 80 ou posterior
Observação
Anteriormente, este artigo fazia referência ao Google Chrome Beta versão 79. O Google está programado para lançar um comportamento de cookie no Chrome Estável versão 80. O Chrome atualizou seu cronograma de lançamento para indicar que essa mudança será implementada no Chrome 80 a partir da semana de 17 de fevereiro. O Chrome 80 será lançado em 4 de fevereiro e terá esse recurso desativado por padrão. O recurso será ativado em uma programação gradativa a partir de 17 de fevereiro.
Resumo
A versão Estável do navegador Google Chrome (compilação 80, com lançamento previsto para 4 de fevereiro de 2020) irá implementar uma mudança no comportamento do cookie padrão a partir da semana de 17 de fevereiro. Embora a alteração pretenda desencorajar o rastreamento de cookies mal-intencionados e proteger os aplicativos da web, também se espera que afete muitos aplicativos e serviços baseados em padrões abertos. Isso inclui os serviços em nuvem da Microsoft.
Os clientes corporativos são incentivados a certificar-se de que estão preparados para a mudança e para implementar as atenuações testando seus aplicativos (desenvolvidos sob medida ou adquiridos). Para obter mais informações, consulte a seção "Recomendações".
A Microsoft está empenhada em abordar essa mudança de comportamento em seus produtos e serviços antes da data de lançamento do Chrome 80. Este artigo discute a orientação da Microsoft e do Google para instalar as várias atualizações necessárias para produtos e bibliotecas e a orientação para teste e preparação. No entanto, é igualmente importante que você teste seus próprios aplicativos em relação a essa mudança no comportamento do Chrome e prepare seus próprios sites e aplicativos da web conforme necessário.
Efeito nos aplicativos do cliente
Observação
Se você não puder revisar as permissões ao tentar ativar um sandbox do Microsoft Learn, limpe os dados de navegação navegando para chrome://settings/clearBrowserData.
Todos os serviços do Microsoft Cloud são atualizados para cumprir os novos requisitos feitos pelo Chrome, mas alguns outros aplicativos ainda podem ser afetados. Verifique a seção "Recomendações" para ver alguns produtos de servidor que exigirão atualização por parte dos clientes.
Você deve testar completamente todos os aplicativos usando o Chrome Beta versão 80 para verificar o efeito dessa mudança. Espera-se que problemas semelhantes aos descritos neste artigo afetem seus aplicativos. Isso é especialmente verdadeiro para aplicativos que usam qualquer plataforma da web ou tecnologia que depende do compartilhamento de cookies entre domínios, como aplicativos que são incorporados em outros aplicativos.
As versões 78 e 79 betas do Chrome têm uma melhoria que atrasa a SameSite:Laxaplicação de atributos por dois minutos. No entanto, o uso dessas versões para teste pode mascarar outros problemas. Portanto, recomendamos que você teste usando o Chrome versão 80, tendo sinalizadores específicos ativados. Fazer isso pode, pelo menos, ajudá-lo a descobrir o efeito para que você possa determinar seu melhor plano. Para obter mais informações, consulte a seção "Diretrizes de testes".
O navegador Microsoft Edge no Chromium (versão 80) não será afetado por essas alterações no SameSite. Você pode ler a documentação do Edge para ver o plano atual para adaptação dessa mudança.
Recomendações
Os clientes da Microsoft que usam o AD FS (Serviços de Federação do Active Directory) ou Proxy de Aplicativo Web devem implantar uma das seguintes atualizações do Windows Server:
| Produto | Artigo da base de dados | Data do lançamento |
|---|---|---|
| Windows Server 2019 | KB 4534273 | terça-feira, 14 de janeiro de 2020 |
| Windows Server 2016 | KB 4534271 | terça-feira, 14 de janeiro de 2020 |
| Windows Server 2012 R2 | KB 4534309 | terça-feira, 14 de janeiro de 2020 |
Os seguintes produtos de servidor ou cliente da Microsoft também devem ser atualizados. As atualizações serão adicionadas a este artigo quando estiverem disponíveis. Recomendamos que você consulte este artigo regularmente para obter as atualizações mais recentes.
| Produto | Artigo da base de dados | Data do lançamento |
|---|---|---|
| Exchange Server 2019 | KB 4537677 | terça-feira, 17 de março de 2020 |
| Exchange Server 2016 | KB 4537678 | terça-feira, 17 de março de 2020 |
| Project Server 2013 | KB 4484360 | terça-feira, 12 de maio de 2020 |
| Project Server 2010 | KB 4484388 | terça-feira, 12 de maio de 2020 |
| SharePoint Foundation 2013 |
KB 4484364 (Atualização Cumulativa: KB 4484358)1 |
terça-feira, 12 de maio de 2020 |
| SharePoint Foundation 2010 | KB 4484386 | segunda-feira, 27 de abril de 2020 |
| SharePoint Server 2019 | KB 4484259 | terça-feira, 11 de fevereiro de 2020 |
| SharePoint Server 2016 | KB 4484272 | terça-feira, 10 de março de 2020 |
| SharePoint Server 2013 | KB 4484362 | terça-feira, 12 de maio de 2020 |
| SharePoint Server 2010 | KB 4484389 | terça-feira, 12 de maio de 2020 |
| Skype for Business Server 2019 |
KB 4549672 (Atualização Cumulativa: KB 4582629)1 |
Atualização Cumulativa de setembro de 2020 (CU 4) |
| Skype for Business Server 2015 |
KB 4549672 (Atualização Cumulativa: KB 4558387)1 |
Atualização Cumulativa de maio de 2020 (CU 11) |
Observação
1 Esta Atualização Cumulativa contém a correção para o problema do cookie SameSite, além de correções adicionais não relacionadas ao problema do cookie SameSite. A Microsoft recomenda instalar a Atualização Cumulativa em vez da atualização individual para garantir que seu ambiente tenha todas as correções disponíveis no momento em que a atualização cumulativa foi lançada.
Você deve testar seus aplicativos para todos os cenários a seguir e determinar o plano apropriado com base no resultado dos testes:
- Seu aplicativo não é afetado pelas alterações do SameSite. Nesse caso, não há ação a ser executada.
- Seu aplicativo foi afetado, mas seus desenvolvedores de software podem fazer a mudança a tempo de usar as configurações do cookie SameSite:None. Nesse caso, você deve alterar seu aplicativo seguindo as orientações do desenvolvedor na seção "Diretrizes de testes".
- Seu aplicativo foi afetado, mas não pode ser alterado a tempo. Para sites internos, o aplicativo pode ser excluído do comportamento de aplicação do SameSite no Chrome usando a configuração LegacySameSiteCookieBehaviorEnabledForDomainList.
Se os clientes corporativos descobrirem que a maioria de seus aplicativos foi afetada ou se não tiverem tempo suficiente para testá-los antes do lançamento gradual do recurso a partir de 18 de fevereiro, eles serão incentivados a desativar o comportamento do SameSite nos computadores que controlam. Eles podem fazer isso usando a Política de Grupo, o System Center Configuration Manager ou o Microsoft Intune (ou qualquer software de Gerenciamento de Dispositivo Móvel) até que possam verificar se o novo comportamento não interrompe os cenários básicos em seus aplicativos.
O Google lançou os seguintes controles corporativos que podem ser definidos para desativar o comportamento de aplicação do SameSite no Chrome:
- LegacySameSiteCookieBehaviorEnabled, que ativa ou desativa essa alteração.
- LegacySameSiteCookieBehaviorEnabledForDomainList, que permite ao Chrome desativar essa política em domínios específicos.
Para clientes corporativos que desenvolvem seus aplicativos no .NET Framework, recomendamos que eles atualizem as bibliotecas e definam o comportamento do SameSite intencionalmente para evitar resultados imprevisíveis causados pela mudança no comportamento do cookie. Para fazer isso, consulte a orientação no seguinte artigo do Blog do Microsoft ASP.NET:
Próximas Alterações de Cookies do SameSite no ASP.NET e ASP.NET Core
Além disso, consulte o seguinte artigo do Blog do Google Chromium para obter orientações para desenvolvedores sobre esse problema:
Desenvolvedores: Prepare-se para o Novo SameSite=None; Configurações Seguras de Cookies
Os clientes que afetaram sites que afetam os consumidores ou usuários que não são cobertos por suas políticas corporativas devem instruir esses usuários a usar um navegador diferente (Edge, Firefox, Internet Explorer) ou orientar esses usuários sobre como desabilitar as configurações no Chrome (conforme mostrado na próxima seção) enquanto corrigem seus aplicativos.
Diretrizes de testes
O Google publicou esta orientação para os desenvolvedores se prepararem para as mudanças no SameSite. Além disso, recomendamos que você teste seus sites e aplicativos usando a seguinte abordagem.
Use o Chrome Beta versão 80 para testar os cenários:
Baixe a versão 80 do Chrome Beta:
- Para Windows de 64 bits: Canal beta para Windows (64 bits)
- Para Windows de 32 bits: Canal beta para Windows (32 bits)
Inicie o Chrome usando a seguinte sinalização de linha de comando adicional:
--enable-features=SameSiteDefaultChecksMethodRigorouslyHabilite os sinalizadores do SameSite. Para fazer isso, digite chrome://flags na barra de endereço, pesquise SameSite e selecione Habilitado para as seguintes opções.
Mais informações
A comunidade da web está trabalhando em uma solução para lidar com o uso abusivo de cookies de rastreamento e falsificação de solicitação entre sites por meio de um padrão conhecido como SameSite.
A equipe do Chrome anunciou planos para lançar uma mudança no comportamento padrão da funcionalidade do SameSite a partir do lançamento da versão 78 Beta do Chrome em 18 de outubro de 2019. Esse lançamento será movido para o lançamento da versão 80 do Chrome em 4 de fevereiro de 2020. Essa mudança ajuda a melhorar a segurança na web. No entanto, ela também interrompe os fluxos de autenticação baseados no padrão OpenID Connect. Portanto, padrões de autenticação bem estabelecidos não funcionarão.
Verificação da versão do Chrome
Se você suspeitar que seus usuários estão usando uma versão do Chrome 76 ou posterior com o SameSite ativado, você pode verificar o número da versão navegando até chrome://settings/helpou selecionando o ícone de configurações do Chrome e, em seguida, selecionando Ajuda>Sobre o Google Chrome.
Para as versões 77 a 79 do Chrome, navegue até chrome://flagspara ver se os sinalizadores estão ativados. A configuração padrão começará a mudar na versão 80 do Chrome em um lançamento gradativo.
Aviso de isenção de responsabilidade para informações de terceiros
Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.
Aviso de isenção de responsabilidade para contatos de terceiros
A Microsoft fornece informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações para contato com outras empresas.