Google、「Chrome 80」で導入した新しいCookie分類システムについて解説Cookieをデフォルトで安全な状態に

Googleは、2020年2月4日にリリースされた「Google Chrome 80」ブラウザについて注意喚起を行った。新しいCookie分類システムの導入が始まったからだ。Cookieの設定を変更しないと、不具合が発生する可能性がある。

» 2020年02月06日 10時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Googleは2020年2月3日(米国時間)、「Google Chrome」ブラウザで導入された新しいCookie分類システムについて、Cookieを管理している開発者などに向けて情報を提供し、注意事項を解説した。

 新しいCookie分類システムは、Cookieによるプライバシーやセキュリティの問題が生じにくいように、デフォルトで安全な状態にするもの。2020年2月4日の「Chrome 80」安定版のリリースに伴って導入が始まった。

 このCookie分類システムでは、SameSite値が宣言されていないCookieは、「SameSite=Lax」として扱われる。これまではこの設定を採っていないCookieが少なくなった。今後は「SameSite=None; Secure」設定となっているCookieのみが、サードパーティーコンテキストでアクセス可能になる。つまりWebサイトをまたいでCookieが利用できるようになる。ただし、HTTPS接続でアクセスされることが条件だ。

 Googleは2019年5月に今回の変更について最初の発表を行い、開発者向けガイダンスを公開している。さらに2019年10月には、注意喚起を行っている。

 Chrome 80安定版での新しいCookie分類システムの導入は段階を踏んで進めていく計画だ。2月後半から少数のユーザー向けに始まり、徐々に対象ユーザーを広げていく。「SameSite Updates」ページに導入時期と状況についての告知がある。

デベロッパーツールコンソールで警告が表示されたらどうするか

 必要な設定が行われていないクロスサイトCookieがWebページに含まれていると、Chrome 80のデベロッパーツールコンソールは警告を表示する。

 開発者がデベロッパーツールで自社のWebサイトを見ているときに、この警告が表示された場合、Webサイトの機能をサポートするCookieの構成が適切ではない可能性がある。

 デベロッパーツールの警告の例を以下に示す。これはChrome 80の場合だが、Chrome 77以降も同様の警告を表示する。

デベロッパーツールコンソールに表示された警告の例(出典:Google

 ただし、例外がある。サービスがCookieの冗長ペア(新しい設定のCookieと、非互換クライアント向けのレガシー設定のCookie)を発行した場合だ。この場合、サービスが意図された通りに機能していても、レガシーCookieに起因する警告が表示される場合がある。

 一部のGoogleサービスはこのアプローチを取り、新しい設定のCookieとレガシー設定のCookieを発行する。このため、Googleサービスが意図通りに機能していても、デベロッパーツールコンソールに警告が表示される可能性がある。

移行の一時的影響とサインオンフローの緩和策の導入

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。