Google Chrome paramètre "samesite" obligatoire

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par saluts92, 31 Janvier 2020.

  1. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    771
    J'aime reçus:
    30
    Je viens de recevoir un message d'un de mes clients professionnels qui me dit cela :
    "A partir du 4 février 2020, une mise à jour de Chrome (version 80) imposera d'ajouter un paramètre "samesite" dans les cookies pour pouvoir continuer à les poser. Au passage, Google Chrome impose, pour pouvoir poser ce paramètre, de passer par un protocole sécurisé : HTTPS"

    J'avoue ne jamais avoir entendu parler de cela , et vous ?

    Cela veut il dire que nous devons obligatoirement passer dans l'entete :
    Code:
    Header always edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
    ? Même si le site est déjà un HTTPS ?

    je n'arrive pas à trouver l'information exacte.
    .
     
  2. colonies
    colonies WRInaute impliqué
    Inscrit:
    10 Septembre 2006
    Messages:
    523
    J'aime reçus:
    62
    Une meilleure idée serait de changer le code plutôt que de patcher ça à la volée avec Apache.

    D'autre part, Chrome impose le paramètre SameSite, et ce que tu mets... ne contient pas "SameSite".
    Et quitte à y aller dans les modifications de cookies, il serait peut-être bon de se demander si ça ne serait pas une opportunité de passer au préfixe __Secure- (ce qui est obligatoire si vous choisissez l'option SameSite=None, mais c'est bien de le mettre de toute façon).

    https://web.dev/samesite-cookies-explained/
     
  3. rick38
    rick38 WRInaute passionné
    Inscrit:
    23 Février 2013
    Messages:
    1 326
    J'aime reçus:
    171
    Il n'y a rien à changer !

    (vous imaginez si tout le web devait se mettre à jour pour pouvoir continuer à poser des cookies sur Chrome à partir du 4 février... :D )

    Simplement, si ça n'est pas spécifié, Chrome considèrera que la valeur de samesite sera par défaut "lax" et que ce sera "secure" par défaut.
     
  4. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    771
    J'aime reçus:
    30
    Ok, donc il enverra systématiquement les cookies en mode sécurisé comme le ferait le header cité plus haut ?
     
  5. rick38
    rick38 WRInaute passionné
    Inscrit:
    23 Février 2013
    Messages:
    1 326
    J'aime reçus:
    171
    Oui.
    Les cookies qui seront rejetés sont ceux qui sont marqués SameSite=None sans être Secure. Mais quand on ne précise rien, Chrome met SameSite=Lax au lieu de None désormais.

    Cela dit, préciser Secure c'est quand même une bonne pratique, moi je le fais à chaque création de cookie.
     
  6. Johanwri
    Johanwri WRInaute occasionnel
    Inscrit:
    13 Mars 2018
    Messages:
    328
    J'aime reçus:
    63
  7. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    771
    J'aime reçus:
    30
    a quel niveau mets tu ce paramètre concrètement stp ?
     
  8. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    771
    J'aime reçus:
    30
    si pour ceux qui ne seraient pas encore en httpS !!
     
  9. rick38
    rick38 WRInaute passionné
    Inscrit:
    23 Février 2013
    Messages:
    1 326
    J'aime reçus:
    171
    J'ai considéré qu'ils n'existent plus :)

    Ben ça dépend de ce que tu utilises. Dans la fonction native de PHP que j'utilise, setcookie(), c'est le 6ème paramètre.
     
    saluts92 apprécie ceci.
  10. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    2 931
    J'aime reçus:
    12
    Excusez-moi.

    J'ai testé le paiement Allopass de mon site partenaire qui est encore en http.

    J'ai Chrome 80.1 sous Linux Fedora 31 64 bits.

    Cà passe, les cookies tiers pour Allopass figurent dans les paramètres.

    Merci beaucoup.
     
Chargement...
Similar Threads - Google Chrome paramètre Forum Date
Google Chrome sera compatible avec les normes Better Ads AdSense 5 Juillet 2019
Evergreen Googlebot, basé sur Chromium (Chrome open source) Référencement Google 9 Mai 2019
VisBug : extension Chrome par Google, pour le développement Google : l'entreprise, les sites web, les services 16 Novembre 2018
Google Chrome va afficher à nouveau les sous-domaines Google : l'entreprise, les sites web, les services 18 Septembre 2018
Analyse SEO avec Lighthouse (extension Google Chrome) Référencement Google 6 Février 2018
Google Chrome va activer son bloqueur de publicités en février Monétisation d'un site web 31 Janvier 2018
Google Analytics : Une extension pour Chrome disponible Google Analytics 3 Juillet 2014
Meilleure extension Google Chrome SEO ? Débuter en référencement 12 Juillet 2013
Google Chrome bloque les téléchargements des fichier executable Problèmes de référencement spécifiques à vos sites 22 Septembre 2012
Google Chrome résout les DNS des liens des pages avant que vous ne cliquiez dessus Google : l'entreprise, les sites web, les services 1 Septembre 2012
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice