Chrome und SameSite Cookies

Wolfgang Pempe pempe at dfn.de
Mi Feb 5 09:12:16 CET 2020


Liebe Zielgruppe,

die eine oder der andere unter Ihnen/Euch hat sicher bereits geh├Ârt oder 
gelesen, dass die aktuelle Version (80) von Chrome ab dem 17. Februar 
bei Cookies, in denen das SameSite-Attribut[1] nicht gesetzt ist, dieses 
automatisch auf den Wert "Lax" setzt, siehe hierzu unter [2]. Es handelt 
sich hierbei um eine Sicherheitsma├čnahme gegen Cross-Site Request 
Forgery (CSRF) Attacks. Es ist abzusehen, dass andere Browserhersteller 
dem folgen werden.

Ob und welche Folgen diese Ma├čnahme im Bereich SAML und Web-SSO haben 
wird, kann nicht pauschal festgestellt werden. Etwaige Auswirkungen 
h├Ąngen ab vom jeweiligen Setup und den Anwendungen, die von einem 
Service Provider gesch├╝tzt werden.

F├╝r Shibboleth SP und IdP finden sich ausf├╝hrliche Informationen im 
Shibboleth Wiki. F├╝r Service Provider siehe unter
https://wiki.shibboleth.net/confluence/display/SP3/SameSite,
zum Identity Provider unter
https://wiki.shibboleth.net/confluence/display/IDP30/SameSite

Beim Shibboleth-SPs sollte 'relayState' (Konfigurationsdatei 
shibboleth2.xml) nicht auf den Wert 'cookie' gesetzt sein, sondern auf 
'ss:mem', was ohnehin der Default ist.

Die UK Federation widmet diesem Thema ein 45-min├╝tiges Webinar, das 
unter [3] verlinkt ist.
Zum Thema Office365 hat Microsoft ausf├╝hrliche Informationen unter [4] 
zusammengestellt.

F├╝r weitere Fragen steht das DFN-AAI Team gerne zur Verf├╝gung 
(hotline at aai.dfn.de).

Beste Gr├╝├če,
Wolfgang (Pempe)

[1] Ausf├╝hrlich erkl├Ąrt unter https://web.dev/samesite-cookies-explained/
[2] https://www.chromestatus.com/feature/5088147346030592 sowie 
https://www.chromium.org/updates/same-site
[3] https://www.ukfederation.org.uk/content/News/2020-01-30-Samesite-Webinar
[4] 
https://docs.microsoft.com/en-us/office365/troubleshoot/miscellaneous/chrome-behavior-affects-applications

-- 
---------------------------------------------------------------------
Wolfgang Pempe                         Phone  : +49 30 884299-9124
DFN-Verein                             Fax    : +49 30 884299-370
Alexanderplatz 1                       E-Mail : pempe at dfn.de
D-10178 Berlin                         WWW    : http://www.dfn.de
---------------------------------------------------------------------
--------------------- Deutsches Forschungsnetz ----------------------
--------- Germany's National Research and Education Network ---------
---------------------------------------------------------------------

-------------- n├Ąchster Teil --------------
Ein Dateianhang mit Bin├Ąrdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigr├Â├če  : 5407 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <http://listserv.aai.dfn.de/pipermail/aai-users/attachments/20200205/dd2c9bf7/attachment.bin>


Mehr Informationen über die Mailingliste Aai-users