1. ✅ Apprenez une METHODE qui marche pour votre SEO ! Formation à distance avec Olivier Duffez et Fabien Facériès + aide pour prise en charge du financement
    Rejeter la notice

Google Chrome paramètre "samesite" obligatoire

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par saluts92, 31 Janvier 2020.

  1. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    828
    J'aime reçus:
    32
    Je viens de recevoir un message d'un de mes clients professionnels qui me dit cela :
    "A partir du 4 février 2020, une mise à jour de Chrome (version 80) imposera d'ajouter un paramètre "samesite" dans les cookies pour pouvoir continuer à les poser. Au passage, Google Chrome impose, pour pouvoir poser ce paramètre, de passer par un protocole sécurisé : HTTPS"

    J'avoue ne jamais avoir entendu parler de cela , et vous ?

    Cela veut il dire que nous devons obligatoirement passer dans l'entete :
    Code:
    Header always edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
    ? Même si le site est déjà un HTTPS ?

    je n'arrive pas à trouver l'information exacte.
    .
     
  2. colonies
    colonies WRInaute impliqué
    Inscrit:
    10 Septembre 2006
    Messages:
    556
    J'aime reçus:
    67
    Une meilleure idée serait de changer le code plutôt que de patcher ça à la volée avec Apache.

    D'autre part, Chrome impose le paramètre SameSite, et ce que tu mets... ne contient pas "SameSite".
    Et quitte à y aller dans les modifications de cookies, il serait peut-être bon de se demander si ça ne serait pas une opportunité de passer au préfixe __Secure- (ce qui est obligatoire si vous choisissez l'option SameSite=None, mais c'est bien de le mettre de toute façon).

    https://web.dev/samesite-cookies-explained/
     
  3. rick38
    rick38 WRInaute passionné
    Inscrit:
    23 Février 2013
    Messages:
    1 516
    J'aime reçus:
    202
    Il n'y a rien à changer !

    (vous imaginez si tout le web devait se mettre à jour pour pouvoir continuer à poser des cookies sur Chrome à partir du 4 février... :D )

    Simplement, si ça n'est pas spécifié, Chrome considèrera que la valeur de samesite sera par défaut "lax" et que ce sera "secure" par défaut.
     
  4. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    828
    J'aime reçus:
    32
    Ok, donc il enverra systématiquement les cookies en mode sécurisé comme le ferait le header cité plus haut ?
     
  5. rick38
    rick38 WRInaute passionné
    Inscrit:
    23 Février 2013
    Messages:
    1 516
    J'aime reçus:
    202
    Oui.
    Les cookies qui seront rejetés sont ceux qui sont marqués SameSite=None sans être Secure. Mais quand on ne précise rien, Chrome met SameSite=Lax au lieu de None désormais.

    Cela dit, préciser Secure c'est quand même une bonne pratique, moi je le fais à chaque création de cookie.
     
  6. Johanwri
    Johanwri WRInaute occasionnel
    Inscrit:
    13 Mars 2018
    Messages:
    330
    J'aime reçus:
    63
  7. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    828
    J'aime reçus:
    32
    a quel niveau mets tu ce paramètre concrètement stp ?
     
  8. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    828
    J'aime reçus:
    32
    si pour ceux qui ne seraient pas encore en httpS !!
     
  9. rick38
    rick38 WRInaute passionné
    Inscrit:
    23 Février 2013
    Messages:
    1 516
    J'aime reçus:
    202
    J'ai considéré qu'ils n'existent plus :)

    Ben ça dépend de ce que tu utilises. Dans la fonction native de PHP que j'utilise, setcookie(), c'est le 6ème paramètre.
     
    saluts92 apprécie ceci.
  10. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 106
    J'aime reçus:
    12
    Excusez-moi.

    J'ai testé le paiement Allopass de mon site partenaire qui est encore en http.

    J'ai Chrome 80.1 sous Linux Fedora 31 64 bits.

    Cà passe, les cookies tiers pour Allopass figurent dans les paramètres.

    Merci beaucoup.
     
  11. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    828
    J'aime reçus:
    32
    oui, je constate aussi que Google n'a rien fait malgré son annonce depuis la version 80 de Chrome
     
  12. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    828
    J'aime reçus:
    32
    bjr,
    j'ai un cas que je n'arrive pas à résoudre depuis le passage à Chrome 80

    j'offre un Widget javascript à mes utilisateurs qu'ils glissent dans la barre d'outils de leur navigateur (ordinateur de bureau uniquement)
    il navigue sur un site (différent du mien) lorsqu'il clic sur cet widget une fenetre apparait, ils doivent se signer, ...
    AVANT la mise à hour chrome 80 : à chaque clic suivant, l'utilisateur n'avait pas besoin de se ressigner : l'ID de Session était toujours le même

    APRES la mise à jour chrome 80 : l'ID de Session change systématiquement : j'ai fait pas mal de test je ne sais pas agir pour rétablir la situation

    pour info : ça continue de fonctionner correctement sur Firefox

    dans mon htaccess j'ai :
    Code:
        Header always edit Set-Cookie ^(.*)$ "$1;HttpOnly;Secure"
    une idée svp ?
     
  13. rick38
    rick38 WRInaute passionné
    Inscrit:
    23 Février 2013
    Messages:
    1 516
    J'aime reçus:
    202
  14. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    828
    J'aime reçus:
    32
    @rick38 effectivement je confirme le retour arrière, je viens de faire un test (Version 80.0.3987.149 (Build officiel) (64 bits))
     
  15. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    828
    J'aime reçus:
    32
Chargement...
Similar Threads - Google Chrome paramètre Forum Date
Google Chrome et gestion des cookies Google : l'entreprise, les sites web, les services 4 Août 2020
Google Chrome sera compatible avec les normes Better Ads AdSense 5 Juillet 2019
Evergreen Googlebot, basé sur Chromium (Chrome open source) Référencement Google 9 Mai 2019
VisBug : extension Chrome par Google, pour le développement Google : l'entreprise, les sites web, les services 16 Novembre 2018
Google Chrome va afficher à nouveau les sous-domaines Google : l'entreprise, les sites web, les services 18 Septembre 2018
Analyse SEO avec Lighthouse (extension Google Chrome) Référencement Google 6 Février 2018
Google Chrome va activer son bloqueur de publicités en février Monétisation d'un site web 31 Janvier 2018
Google Analytics : Une extension pour Chrome disponible Google Analytics 3 Juillet 2014
Meilleure extension Google Chrome SEO ? Débuter en référencement 12 Juillet 2013
Google Chrome bloque les téléchargements des fichier executable Problèmes de référencement spécifiques à vos sites 22 Septembre 2012