🤕 👼 📑 समान रूप से = डिफ़ॉल्ट रूप से लक्ष्मण - पहले से ही क्रोम 80 स्थिर (हालांकि अभी तक सभी के लिए नहीं) 📫 🤪 👩‍👩‍👧‍👦

दूसरे दिन, एक चौकस सहयोगी (धन्यवाद, लीना) ने एक अजीब बग की सूचना दी - सर्वर ने सामान्य रूप से ब्राउज़र में कुकी सेट की, लेकिन यह वापस नहीं आया। एक दिन पहले सब कुछ काम करता था, लेकिन अब कुकी सेट हो गई थी, लेकिन कुछ सेकंड के बाद यह जादुई रूप से गायब हो गया (हालांकि इसे 24 घंटे तक चलना चाहिए)। यह केवल कुछ लोगों द्वारा टीम में और केवल नए क्रोम 80 में पुन: पेश किया गया था, लेकिन बाकी क्रोम में बिल्कुल वही संस्करण था, सब कुछ क्रम में था। अन्य ब्राउज़रों में, सब कुछ एक घड़ी की तरह काम करता था। रहस्यवादी। उन्होंने इसका पता लगाना शुरू कर दिया, और कुछ समय बाद, क्रोम कंसोल ने कुकी को सेट करने वाले प्रतिक्रिया हेडर के लिए चेतावनी देखी:

A cookie associated with a cross-site resource at _your_domain_ was set without the `SameSite` attribute. A future release of Chrome will only deliver cookies with cross-site requests if they are set with `SameSite=None` and `Secure`.

उन्होंने अध्ययन करना शुरू किया कि यह क्या था, और धीरे-धीरे यह स्पष्ट हो गया कि त्रुटि कैसे उत्पन्न हुई और सभी ने इसे क्यों नहीं दिखाया। चूंकि हमारी सेवा को विभिन्न डोमेन से अनुरोधों को संसाधित करना होगा, तो यह SameSiteसिर्फ हमारा मामला है। उन्होंने जोड़ा SameSite=None; Secure, और समस्या हमारे लिए हल हो गई।

ऐसा क्यों है?

प्रारंभ में, HTTP मानक के अनुसार, ब्राउज़र ने संबंधित डोमेन के किसी भी अनुरोध के लिए कुकीज़ (या सिर्फ कुकीज़) भेजे । इसने CSRF हमले के अवसरों को खोल दिया, अर्थात्, बेईमान लोगों की अनुमति दी, परिस्थितियों के एक निश्चित समूह के तहत, केवल अपने कुकीज़ का उपयोग करते हुए, बिना सोचे-समझे किए गए प्रतिबंध की आड़ में कुछ संसाधनों तक पहुंच प्राप्त करने के लिए।

2016 में, एक विशेषता शुरू की गई थी SameSiteजो आपको यह नियंत्रित करने की अनुमति देती है कि क्या ब्राउज़र कुकीज़ भेजेगा यदि पृष्ठ किसी अन्य डोमेन के लिए अनुरोध भेजता है। यदि किसी तीसरे पक्ष की साइट से अनुरोध निष्पादित होता है, तो डेवलपर्स के पास अपने कुकीज़ के हस्तांतरण को अवरुद्ध करने का अवसर होता है। इसके लिए, विशेषता SameSiteको स्पष्ट रूप से स्ट्रिक्ट पर सेट किया जाना था ।(कुकीज़ केवल उन डोमेन के अनुरोधों और संक्रमणों पर प्रेषित की जाती हैं जिनसे वे संबंधित हैं), या Lax (कुकीज़ को साइट पर संक्रमण के लिए अन्य साइटों से सीधे लिंक द्वारा प्रेषित किया जाता है, लेकिन उनसे अन्य अनुरोधों पर प्रसारित नहीं किया जाता है, उदाहरण के लिए, जब AJAX अनुरोध या चित्र अपलोड करते हैं) ) अनुपस्थिति SameSiteसमतुल्य थी SameSite=None, अर्थात, डिफ़ॉल्ट रूप से, कुकीज़ अभी भी किसी भी अनुरोध पर प्रेषित की गई थीं।

मई 2019 में, Google क्रोम डेवलपर्स ने घोषणा की कि वे धीरे-धीरे इस व्यवहार को बदल देंगे और समान SameSite=Lax( यहां अधिक) की अनुपस्थिति की व्याख्या करेंगे) वह है - डिफ़ॉल्ट रूप से, ब्राउज़र लिंक पर सीधे क्लिक के अलावा, वर्तमान पृष्ठ से किसी भी अन्य संसाधनों के अनुरोधों के लिए कुकीज़ के प्रसारण को अवरुद्ध करेगा। फ़ायरफ़ॉक्स और एज डेवलपर्स ने घोषणा की है कि समय के साथ, वे अपने ब्राउज़रों में भी इस बदलाव को लागू करेंगे।

उपयोगकर्ताओं के लिए, यह ब्राउज़र व्यवहार अधिक सुरक्षित है। साइटों और वेब सेवाओं के डेवलपर्स को यह ध्यान रखना होगा कि यदि उन्हें अभी भी अन्य साइटों से अनुरोध करते समय अपनी कुकीज़ प्राप्त करने की आवश्यकता है, तो उन्हें अपनी कुकीज़ विशेषताओं को स्पष्ट रूप से सेट करना होगा SameSite=None, Secure( Secure- क्योंकि इस तरह के अनुरोध को केवल एक सुरक्षित चैनल के माध्यम से सर्वर पर आना चाहिए। )

चूंकि नवाचार वर्तमान मानक को बदलता है, और सभी साइटें जल्दी से अनुकूलित करने में सक्षम नहीं होंगी, एक नए व्यवहार के लिए संक्रमण धीरे-धीरे होता है। प्रारंभ में, इसे क्रोम बीटा उपयोगकर्ताओं की सीमित संख्या के लिए चालू किया गया था, और अब उनकी संख्या धीरे-धीरे बढ़ रही है। वास्तविक जानकारी यहाँ उपलब्ध है । लिंक पर नवीनतम प्रविष्टि:

अंतिम बार 9 मार्च, 2020 को अपडेट

किया गया। हमने क्रोम 80 स्थिर उपयोगकर्ताओं के लिए नया व्यवहार लागू करना शुरू कर दिया है, न कि केवल 100% उपयोगकर्ताओं के लिए। नियंत्रित रोलआउट एक सीमित प्रारंभिक जनसंख्या के लिए है,

यही है, बीटा परीक्षण की अवधि पीछे है, और क्रोम डेवलपर्स ने धीरे-धीरे सामान्य उपयोगकर्ताओं के बीच नई कार्यक्षमता को शामिल करना शुरू कर दिया है। जो सिद्धांत में अच्छा है, क्योंकि यह वास्तव में सुरक्षित है।

आप सेटिंग्स के माध्यम से पुराने व्यवहार को पुनर्स्थापित कर सकते हैं : क्रोम एड्रेस बार में, दर्ज करें chrome://flags, पृष्ठ पर जाएं, सेमसाइट डिफ़ॉल्ट कुकीज़ आइटम ढूंढें , और इसे अक्षम पर सेट करें । लेकिन यह सामान्य उपयोगकर्ताओं की तुलना में परीक्षण के लिए अधिक उपयुक्त है। इसी तरह, यदि आपका Chrome 80 अभी भी पुराना व्यवहार चला रहा है, तो आप उसी सेटिंग को सक्षम करके नई कार्यक्षमता को बाध्य कर सकते हैं ।

इसलिए, यदि आपकी साइट को विभिन्न डोमेन से अनुरोध करते समय कुकीज़ प्राप्त करने की आवश्यकता है - आगामी परिवर्तनों के लिए तैयार रहें (और जो भी तैयार है वह उसके लिए अच्छा है)। सभी को अच्छा!

द्वारा जोड़ा:
xdenserटिप्पणियों में संकेत दिया गया कि ब्राउज़र के कुछ पुराने संस्करण समर्थन नहीं करते हैं SameSite=None, ऐसे कुकीज़ को बिल्कुल स्वीकार नहीं करते हैं या उन्हें गैर-मानक तरीके से संसाधित करते हैं। उनमें डेस्कटॉप और मोबाइल उपकरणों के लिए ब्राउज़र हैं। पृष्ठ https://www.chromium.org/updates/same-site/incompatible-clients ब्राउज़र की एक सूची और समस्या का संभावित समाधान (छद्म कोड में, लेकिन काफी विस्तृत) प्रदान करता है। लेखकों का सुझाव है कि शीर्षक द्वारा ब्राउज़रों के समस्याग्रस्त संस्करणों का पता लगाया जाए useragent, और उनकी कुकीज़ विशेषता SameSite=Noneको बिल्कुल भी निर्धारित नहीं किया जाए ।

जोड़ा गया 2:
3 अप्रैल, 2020 से COVID-19 की स्थिति के संबंध में, इंटरनेट सेवाओं के सुचारू संचालन को सुनिश्चित करने के लिए, Google सम्साइट के प्रसंस्करण में वर्णित परिवर्तनों के कार्यान्वयन को अस्थायी रूप से निलंबित कर देता है। उन उपकरणों पर जहां परिवर्तन पहले से ही लागू हैं, उन्हें रद्द कर दिया जाएगा।
(c) blog.chromium.org/2020/04/temporately-rolling-back-samesite.html

स्रोत:
web.dev/samesite-cookies-explained
www.chromium.org/updates/name-site
www.chromestatus.com/ फ़ीचर / 5088147346030592
www.chromium.org/updates/same-site/incompatible-clients
blog.chromium.org/2020/04/temporately-rolling-back-samesh.html

समान रूप से = डिफ़ॉल्ट रूप से लक्ष्मण - पहले से ही क्रोम 80 स्थिर (हालांकि अभी तक सभी के लिए नहीं)

ऐसा क्यों है?

More articles: