Google、「Chrome 80」で導入した新しいCookie分類システムについて解説:Cookieをデフォルトで安全な状態に
Googleは、2020年2月4日にリリースされた「Google Chrome 80」ブラウザについて注意喚起を行った。新しいCookie分類システムの導入が始まったからだ。Cookieの設定を変更しないと、不具合が発生する可能性がある。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Googleは2020年2月3日(米国時間)、「Google Chrome」ブラウザで導入された新しいCookie分類システムについて、Cookieを管理している開発者などに向けて情報を提供し、注意事項を解説した。
新しいCookie分類システムは、Cookieによるプライバシーやセキュリティの問題が生じにくいように、デフォルトで安全な状態にするもの。2020年2月4日の「Chrome 80」安定版のリリースに伴って導入が始まった。
このCookie分類システムでは、SameSite値が宣言されていないCookieは、「SameSite=Lax」として扱われる。これまではこの設定を採っていないCookieが少なくなった。今後は「SameSite=None; Secure」設定となっているCookieのみが、サードパーティーコンテキストでアクセス可能になる。つまりWebサイトをまたいでCookieが利用できるようになる。ただし、HTTPS接続でアクセスされることが条件だ。
Googleは2019年5月に今回の変更について最初の発表を行い、開発者向けガイダンスを公開している。さらに2019年10月には、注意喚起を行っている。
Chrome 80安定版での新しいCookie分類システムの導入は段階を踏んで進めていく計画だ。2月後半から少数のユーザー向けに始まり、徐々に対象ユーザーを広げていく。「SameSite Updates」ページに導入時期と状況についての告知がある。
デベロッパーツールコンソールで警告が表示されたらどうするか
必要な設定が行われていないクロスサイトCookieがWebページに含まれていると、Chrome 80のデベロッパーツールコンソールは警告を表示する。
開発者がデベロッパーツールで自社のWebサイトを見ているときに、この警告が表示された場合、Webサイトの機能をサポートするCookieの構成が適切ではない可能性がある。
デベロッパーツールの警告の例を以下に示す。これはChrome 80の場合だが、Chrome 77以降も同様の警告を表示する。
ただし、例外がある。サービスがCookieの冗長ペア(新しい設定のCookieと、非互換クライアント向けのレガシー設定のCookie)を発行した場合だ。この場合、サービスが意図された通りに機能していても、レガシーCookieに起因する警告が表示される場合がある。
一部のGoogleサービスはこのアプローチを取り、新しい設定のCookieとレガシー設定のCookieを発行する。このため、Googleサービスが意図通りに機能していても、デベロッパーツールコンソールに警告が表示される可能性がある。
移行の一時的影響とサインオンフローの緩和策の導入
あるユーザーがChrome 80にアップデートする直前に、クロスサイトCookieのプロバイダーがCookieを更新した場合には一時的な問題が発生する。Chrome 80を使用する既知のユーザーや再訪ユーザーは、Cookieが新しい設定で更新されるまで、一時的に未知のユーザーや新規ユーザーと見なされる可能性がある。Cookieを前もって更新していたプロバイダーであれば、この影響に気付く可能性は低そうだ。ユーザーが新しい設定のCookieを受け取る時間が長いからだ。
認証プロセス中にWebサイトとサードパーティープロバイダーの間でCookieが受け渡されるときに、ユーザーのサインオンエクスペリエンスが損なわれる可能性がある。そこでChromeでは「Lax + POST」という一時的な緩和策を導入した。これによってSameSite設定が指定されていないCookieであっても、サインオンフローで通常使われるトップレベルクロスサイトPOSTリクエストで2分以内に利用できるようにした。
テストとトラブルシューティングを進めなければならない
サインオンなどのサービスや社内アプリケーションがChrome 80の変更に対応していない場合、企業の管理者は特別なポリシーを実装して、Chrome Webブラウザを一時的に以前の挙動に戻す必要があるかもしれない。
Googleは、新しいCookie分類システムの下で、Webサイトやサービスがどのような挙動を示すかを調べるために、Chrome 76以降をテストすることを強く勧めている。具体的には試験運用版の機能を試すための「SameSite by default cookies」と「Cookies without SameSite must be secure」と呼ばれる実験的なフラグを有効にする(フラグは、「chrome://flags」で有効にする)。
新しいCookie分類システムは、Chrome 80以降、徐々に導入されていくため、テストする際は、Chrome 80でもフラグを有効にし、新しいデフォルト設定を反映させる必要がある。
関連記事
【Google Chrome】終了時にCookieを自動削除して自動ログインを解除する
自分以外の人も操作できるPCでWebサイトへの自動ログインを設定しておくと、他人にログイン済みサイトを操作されて情報漏えいなどにつながる恐れがあります。そこで、Google Chromeの終了時に自動ログインを解除すべく、Cookieを自動削除する設定について説明します。
【Google Chrome】特定のサイト(ドメイン)のCookieだけ削除する方法
Webページ/アプリのトラブルシューティングとしてよく紹介されるCookieの削除。でも全サイトのCookieを削除すると、有用な情報も削除されてしまうという弊害もあります。対象のサイトに絞ってCookieなどのローカルデータを削除する手順を紹介します。
HTTP Cookieとは
ステートレスなHTTPプロトコルにおいて、セッション管理やユーザーの行動追跡などを行うためにCookieが使われている。Cookieとは何か、どのような仕組みで動作しているのか、などを解説する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。