Technical blog

Google Chrome 80, les cookies et le https

  • Maxime
  • 06 Jan, 2020

Prévision 2020…

Google Chrome 80 va apporter un changement dans la politique de gestion des cookies pour des raisons de sécurité. Ceci va donc impacter sur un futur proche les autres navigateurs (Edge, Firefox).

Le changement sert à limiter la propagation des cookies (de sessions authentifiées principalement) à travers des sites tiers non sécurisés qui voudraient utiliser ces cookies à des fins malicieuses. Cela aura également un impact sur l’utilisation légitime des cookies pour intégrer deux sites Web distincts, l’un intégrant l’autre en tant qu’iframe.

En conséquence, si vous avez une intégration personnalisée avec ARender qui se base entre votre interface & ARender par un cookie authentifié pour faire appel à vos services, vérifiez bien les informations suivantes :

  • Si vos cookies ne spécifient pas la propriété SameSite, Google Chrome 80 les placera automatiquement en SameSite=Lax, ceci aura pour effet de n’autoriser l’utilisation de ces cookies à partir d’autres sites uniquement par des requêtes Get.
  • Seules les requêtes qui se feront en HTTPS pourront utiliser les cookies sans la propriété SameSite, car le paramètre « Without SameSite must be secure » sera mis en place automatiquement.

Nous vous laissons vous référer au projet Chromium qui indique le déploiement de ce paramétrage : https://www.chromium.org/updates/same-site