Jak zarządzać obsługą parametru SameSite w ciasteczkach od strony przeglądarek internetowych?

Na początku tego roku w zwięzły sposób opisałem, o co chodzi w parametrze SameSite w ciasteczkach, a także o tym, jak skonfigurować atrybut SameSite w serwerach aplikacji webowych. 

W zasadzie wszystkie przeglądarki uwzględniły zmiany w sierpniu. Jednak w wielu wypadkach dostawcy nie zaimplementowali tej funkcjonalności po stronie serwerów aplikacyjnych. Jeśli w waszym środowisku macie taką mieszankę zgodnych i niezgodnych rozwiązań, musicie zastanowić się, jak to obsłużyć po stronie klienckiej. W okresie zmian możecie zastosować obejście w postaci zaaplikowania odpowiednich ustawień po stronie klienta dla wszystkich lub wybranych witryn. 

Proponuję posłużyć się ustawieniami zasad grup środowiska domenowego lub profilami ustawień Intune. 

W przeglądarkach opartych na silniku Chromium (przynajmniej) do 14 lipca 2021 roku, mają być udostępniane polityki ustawień zgodności wstecznej (Cookie Legacy SameSite Policies). 

Jak je zaaplikować na komputerach w przedsiębiorstwie? Prawie zawsze pierwszym wyborem będzie dystrybucja odpowiednich ustawień za pomocą ustawień zasad grup. 

W tym celu należy pobrać właściwe dla zarządzanej przeglądarki szablony administracyjne:

Microsoft Edge — do pobrania z witryny Edge for Business. 

Google Chrome — do pobrania z witryny Chrome browser for enterprise.

Mozilla Firefox — do pobrania z witryny  Policy templates for Firefox.

Pobrane szablony należy zainstalować w folderze PolicyDefinition magazynu szablonów (najlepiej centralnego). Nie ma sensu instalować niczego „na zapas”. Jeśli w danej chwili nie używacie i nie ma potrzeby konfiguracji ustawień dla jakiegoś programu, nie instalujecie też jego szablonów. 

W Edge i Chrome można użyć dwóch różnych opcji:

LegacySameSiteCookieBehaviorEnabled — Umożliwia globalne przywrócenie poprzedniego trybu obsługi SameSite dla plików cookie. Powoduje to, że pliki cookie, które nie określają atrybutu SameSite, są traktowane tak, jakby były ustawione z parametrem „SameSite = None”. Jednocześnie usuwa wymóg, aby pliki cookie „SameSite = None” nosiły atrybut „Secure” i pomija porównanie schematów podczas oceny, czy dwie witryny to ta sama witryna.

Ustawienie może przyjąć dwie wartości:

DefaultToLegacySameSiteCookieBehavior = 1 

Przywróć starsze zachowanie SameSite dla plików cookie we wszystkich witrynach.

DefaultToSameSiteByDefaultCookieBehavior = 2

Użyj domyślnego zachowania SameSite dla plików cookie we wszystkich witrynach.

LegacySameSiteCookieBehaviorEnabledForDomainList — Analogiczne ustawienie, ale aplikowane do witryn działających w określonych domenach. Zdecydowanie lepsza opcja, zawężająca stosowanie poprzednich ustawień do adresów wybranych aplikacji webowych. 

Ustawienia można skonfigurować w GPMC w „Administrative Templates/Microsoft Edge/Content settings” pod nazwami „Enable default legacy SameSite cookie behavior setting" oraz „Revert to legacy SameSite behavior for cookies on specified sites”. 

Technicznie ustawienia są mapowane na klucze rejestru LegacySameSiteCookieBehaviorEnabled w    SOFTWARE\Policies\Microsoft\Edge oraz 1 i kolejne pozycje z listy w    SOFTWARE\Policies\Microsoft\Edge\LegacySameSiteCookieBehaviorEnabledForDomainList.

Obecnie, Firefox nie dostarcza analogicznych ustawień w szablonach zasad grup. Ewentualne zmiany należy zaaplikować inną metodą (mozilla.cfg, policies.json, autoconfig) lub bezpośrednio w edytorze konfiguracji.