Google Chrome paramètre "samesite" obligatoire

WRInaute passionné
Je viens de recevoir un message d'un de mes clients professionnels qui me dit cela :
"A partir du 4 février 2020, une mise à jour de Chrome (version 80) imposera d'ajouter un paramètre "samesite" dans les cookies pour pouvoir continuer à les poser. Au passage, Google Chrome impose, pour pouvoir poser ce paramètre, de passer par un protocole sécurisé : HTTPS"

J'avoue ne jamais avoir entendu parler de cela , et vous ?

Cela veut il dire que nous devons obligatoirement passer dans l'entete :
Code:
Header always edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
? Même si le site est déjà un HTTPS ?

je n'arrive pas à trouver l'information exacte.
.
 
WRInaute impliqué
Une meilleure idée serait de changer le code plutôt que de patcher ça à la volée avec Apache.

D'autre part, Chrome impose le paramètre SameSite, et ce que tu mets... ne contient pas "SameSite".
Et quitte à y aller dans les modifications de cookies, il serait peut-être bon de se demander si ça ne serait pas une opportunité de passer au préfixe __Secure- (ce qui est obligatoire si vous choisissez l'option SameSite=None, mais c'est bien de le mettre de toute façon).

https://web.dev/samesite-cookies-explained/
 
WRInaute passionné
Il n'y a rien à changer !

(vous imaginez si tout le web devait se mettre à jour pour pouvoir continuer à poser des cookies sur Chrome à partir du 4 février... :D )

Simplement, si ça n'est pas spécifié, Chrome considèrera que la valeur de samesite sera par défaut "lax" et que ce sera "secure" par défaut.
 
WRInaute passionné
Oui.
Les cookies qui seront rejetés sont ceux qui sont marqués SameSite=None sans être Secure. Mais quand on ne précise rien, Chrome met SameSite=Lax au lieu de None désormais.

Cela dit, préciser Secure c'est quand même une bonne pratique, moi je le fais à chaque création de cookie.
 
WRInaute accro
Excusez-moi.

J'ai testé le paiement Allopass de mon site partenaire qui est encore en http.

J'ai Chrome 80.1 sous Linux Fedora 31 64 bits.

Cà passe, les cookies tiers pour Allopass figurent dans les paramètres.

Merci beaucoup.
 
WRInaute passionné
bjr,
j'ai un cas que je n'arrive pas à résoudre depuis le passage à Chrome 80

j'offre un Widget javascript à mes utilisateurs qu'ils glissent dans la barre d'outils de leur navigateur (ordinateur de bureau uniquement)
il navigue sur un site (différent du mien) lorsqu'il clic sur cet widget une fenetre apparait, ils doivent se signer, ...
AVANT la mise à hour chrome 80 : à chaque clic suivant, l'utilisateur n'avait pas besoin de se ressigner : l'ID de Session était toujours le même

APRES la mise à jour chrome 80 : l'ID de Session change systématiquement : j'ai fait pas mal de test je ne sais pas agir pour rétablir la situation

pour info : ça continue de fonctionner correctement sur Firefox

dans mon htaccess j'ai :
Code:
    Header always edit Set-Cookie ^(.*)$ "$1;HttpOnly;Secure"

une idée svp ?
 
Discussions similaires
Haut