Google、「Chrome 80」で導入した新しいCookie分類システムについて解説:Cookieをデフォルトで安全な状態に
Googleは、2020年2月4日にリリースされた「Google Chrome 80」ブラウザについて注意喚起を行った。新しいCookie分類システムの導入が始まったからだ。Cookieの設定を変更しないと、不具合が発生する可能性がある。
Googleは2020年2月3日(米国時間)、「Google Chrome」ブラウザで導入された新しいCookie分類システムについて、Cookieを管理している開発者などに向けて情報を提供し、注意事項を解説した。
新しいCookie分類システムは、Cookieによるプライバシーやセキュリティの問題が生じにくいように、デフォルトで安全な状態にするもの。2020年2月4日の「Chrome 80」安定版のリリースに伴って導入が始まった。
このCookie分類システムでは、SameSite値が宣言されていないCookieは、「SameSite=Lax」として扱われる。これまではこの設定を採っていないCookieが少なくなった。今後は「SameSite=None; Secure」設定となっているCookieのみが、サードパーティーコンテキストでアクセス可能になる。つまりWebサイトをまたいでCookieが利用できるようになる。ただし、HTTPS接続でアクセスされることが条件だ。
Googleは2019年5月に今回の変更について最初の発表を行い、開発者向けガイダンスを公開している。さらに2019年10月には、注意喚起を行っている。
Chrome 80安定版での新しいCookie分類システムの導入は段階を踏んで進めていく計画だ。2月後半から少数のユーザー向けに始まり、徐々に対象ユーザーを広げていく。「SameSite Updates」ページに導入時期と状況についての告知がある。
デベロッパーツールコンソールで警告が表示されたらどうするか
必要な設定が行われていないクロスサイトCookieがWebページに含まれていると、Chrome 80のデベロッパーツールコンソールは警告を表示する。
開発者がデベロッパーツールで自社のWebサイトを見ているときに、この警告が表示された場合、Webサイトの機能をサポートするCookieの構成が適切ではない可能性がある。
デベロッパーツールの警告の例を以下に示す。これはChrome 80の場合だが、Chrome 77以降も同様の警告を表示する。
ただし、例外がある。サービスがCookieの冗長ペア(新しい設定のCookieと、非互換クライアント向けのレガシー設定のCookie)を発行した場合だ。この場合、サービスが意図された通りに機能していても、レガシーCookieに起因する警告が表示される場合がある。
一部のGoogleサービスはこのアプローチを取り、新しい設定のCookieとレガシー設定のCookieを発行する。このため、Googleサービスが意図通りに機能していても、デベロッパーツールコンソールに警告が表示される可能性がある。
移行の一時的影響とサインオンフローの緩和策の導入
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 【Google Chrome】終了時にCookieを自動削除して自動ログインを解除する
自分以外の人も操作できるPCでWebサイトへの自動ログインを設定しておくと、他人にログイン済みサイトを操作されて情報漏えいなどにつながる恐れがあります。そこで、Google Chromeの終了時に自動ログインを解除すべく、Cookieを自動削除する設定について説明します。 - 【Google Chrome】特定のサイト(ドメイン)のCookieだけ削除する方法
Webページ/アプリのトラブルシューティングとしてよく紹介されるCookieの削除。でも全サイトのCookieを削除すると、有用な情報も削除されてしまうという弊害もあります。対象のサイトに絞ってCookieなどのローカルデータを削除する手順を紹介します。 - HTTP Cookieとは
ステートレスなHTTPプロトコルにおいて、セッション管理やユーザーの行動追跡などを行うためにCookieが使われている。Cookieとは何か、どのような仕組みで動作しているのか、などを解説する。