[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01321] Chrome 80におけるcookieハンドリング挙動変更によるIdP/SPへの影響について(SameSite cookie)



IdP管理者・SP管理者のみなさま
NIIの西村です。

2月4日にリリース予定のGoogle Chrome 80から、cookieの取り扱いに関する
挙動が変更になり、この影響で特定の設定のIdP/SPにおいて期待するSSOの挙動
を示さない、などの調査結果が示されました。
# 上記の通りですので脆弱性・セキュリティに類する問題ではありません
# また、対処を誤ると古いSafariで上記以上の問題になることが示されており
# ますので、対策として何か行う場合は十分ご留意ください

Shibboleth IdPについて:
https://wiki.shibboleth.net/confluence/display/IDP30/SameSite
下記の影響が見られますのでHTML Local Storageの有効化
(idp.storage.htmlLocalStorage=true)が推奨されています。
- (学認の技術ガイドに沿って構築したIdPについて)特定のSPからの認証要求で
  SSOが期待される場面でもログイン画面が表示されID/パスワードを要求される

Shibboleth SPについて:
https://wiki.shibboleth.net/confluence/display/SP3/SameSite
学認技術ガイドに沿った構築でかつWebアプリケーションの構成が単純な場合、
影響を受けない模様です。
- RelayStateにcookieを使うよう設定変更をしている場合、認証に時間がかかる
  と本来の遷移先を忘れ認証後にサイトトップ等に遷移する
- Webアプリケーションが独自にセッションを管理しておらずShibbolethセッショ
  ンに依存している場合、クロスサイトのPOSTを伴う場合にログイン状態が維持され
  ない
- Form Recovery機能を有効にしている場合、認証に時間がかかるとこれが機能し
  ない

これはSAMLの仕様に起因するものであるため、Shibboleth以外(simpleSAMLphp,
ADFS等)のIdP/SPも影響を受ける可能性がございます。またSP側のWebアプリケー
ション自体に、クロスサイトでデータを受け渡すことに依存する部分があれば今回の挙
動変更の影響を受ける可能性があります。

運用されている各IdP/SPでサービスの挙動に問題がないかご確認をお願いいたします。

-- 
西村健
国立情報学研究所 TEL:03-4212-2890
⌘