Interviews Brawte nfaq 0 Comments

Mozillaは、開発者がSameSiteの不具合をチェックしていないため、Firefoxのウェブサイトがさらに破損する可能性があると警告している

Table of Contents

Mozillaは、開発者がSameSiteの不具合をチェックしていないため、Firefoxのウェブサイトがさらに破損する可能性があると警告している

Mozillaは水曜日、Firefoxがブラウザのクッキーを処理する方法の継続的な変更がウェブサイトに支障をきたす可能性があると警告し、ウェブ開発者にコードをテストするよう促した。

SameSite他のブラウザベンダーも支持するこの移行は、ブラウザがクッキーをどのように処理すべきかを宣言するために使用される属性に関係しています。

2016年の仕様で規定されているこのSameSite属性により、ウェブアプリはクロスサイトリクエスト(サードパーティのオリジン(ドメイン)からのリクエスト)でCookieを送信しないよう指定できます。3つの値(SameSite=None; SameSite=Lax;およびSameSite=Strict)を指定でき、クロスオリジン情報漏洩やクロスサイトリクエストフォージェリ攻撃に対する防御策となります。

Googleは今年初め、Chrome 80で 属性のデフォルト動作の変更を段階的に展開し、一部のサイトが正常に機能しなくなる可能性があると警告しました。変更内容は、 が宣言されていない場合、Chromeがではなくの値SameSiteを想定するという単純なものです。SameSiteLaxNone

ウェブ開発者は従来この属性を設定していなかったため、デフォルト設定の変更によって問題が発生することが予想されていました。このLax設定は よりもわずかに制限が厳しいだけですNoneが、一部のウェブサイトが正常に機能しなくなるほどで​​す。

クッキーを焼く

GoogleがChromeのCookieセキュリティ強化で開発者に警告「知識がないと壊れるよ」

続きを読む

付随的な被害は深刻であることが判明し、GoogleはSameSite4月に新型コロナウイルス感染症のパンデミックの初期の影響を受けて、一時的に展開を中止しました。当時、オンライン医療リソースへのアクセスを妨げるのは賢明ではないと考えられていました。

Googleは先月、SameSiteChromeにおけるCookieの適用を再開し、今後さらに強化していくと発表しました。このSameSite変更は、Chrome Stableチャンネルの最新リリースであるバージョン80から84までに適用されますが、現時点では一部のユーザーのみが利用可能です。

Microsoft と Apple はどちらもSameSiteブラウザでサポートしていますが、どちらもこの属性の同じデフォルトの処理を採用することについてはあまり語っていません。

一方、Mozillaは実装を進めています。SameSite2月にはFirefox Nightly 75で改訂されたデフォルト動作を有効化しました。そして6月のFirefox Beta 79のリリースに合わせて、SameSiteベータ版ユーザーの50%に対して、より安全な動作が有効化されました。

SameSiteMozillaのFirefox Webテクノロジー担当グループプロダクトマネージャー、マイク・コンカ氏はブログ記事で、「 Cookieの属性のデフォルト値を から に変更しますNoneLaxと述べています。「これにより、ユーザーのセキュリティが大幅に向上します。ただし、一部のウェブサイトは(無意識のうちに)古いデフォルト値に依存している可能性があり、その結果、サイトの動作に支障をきたす可能性があります。」

ChromeとFirefoxの動作に関する不具合の報告がSameSite数ヶ月前から少しずつ寄せられています。Firefoxのプレリリース版(Firefox Nightlyリリースチャンネルのv81)のユーザーにとって最新の問題は、英国居住者が政府サービスにアクセスするためのサインインサービスであるGOV.UK Verifyでログインが正常に処理されないというものです。

The Register は英国内閣府にこの件について問い合わせましたが、サンフランシスコ事務所との時差を考えると、すぐに回答が得られるとは期待していません。

SameSite制度下で機能不全に陥った他のウェブサイトには、英国のモバイルプロバイダーThree、Analog Devices、ソニーのPlayStation.comなどが挙げられます。ChromeとFirefoxはどちらも、サイト障害を追跡するためのバグリストを管理しています。

「この機能をFirefoxのリリースチャンネルにリリースする時期は現時点では未定です」とコンカ氏は述べた。「ベータ版をご利用のユーザーの皆様に、許容できないほどのサイト障害が発生していないことを確認し、ほとんどのサイトが新しいデフォルトの動作に適応していることを確認したいと考えています。」

しかし、「破損」の明確な定義がないため、Firefox チームは Bugzilla、ソーシャル メディア サイトなど、ユーザーが問題を報告する際に使用するさまざまなチャネルを監視していくつもりだと述べています。®

Interviews

Smart Recommendations

Discover More