Google Chrome、SameSite cookie強制を一時的に中止

　headless曰く、

　Googleは3日、Google ChromeにおけるSameSite cookieの強制を一時的に中止することを発表した（Chromium Blog、9to5Google、Ghacks、Android Police）。

　SameSite cookieは他サイトに対するリクエストでのcookie送信を「SameSite」属性により制御する仕組みで、CSRF攻撃を防ぐことが可能になる。2月リリースのChrome 80ではサードパーティーコンテキストで「SameSite=None; Secure」がセットされたcookieのみを許可するセキュリティ強化が追加され、徐々にロールアウトしていた。

　ただし、この変更に対応することで一部のサービスでの問題発生が報告されており、新型コロナウイルス感染症（COVID-19）が世界的に困難な状況を生む中、必要なサービス提供が中断されないようにするため一時的なロールバックを決定したとのこと。ロールバックは3日から開始されており、この変更によるユーザーやサイトへの影響はないとみられている。SameSite cookie強制の再開など、今後の計画に関しては「SameSite Updates」ページで報告するとのことだ。

　スラドのコメントを読む | セキュリティセクション | Chrome | セキュリティ | スラッシュバック | Chromium

　関連ストーリー：
Safari、すべてのサードパーティCookieをブロックへ 2020年03月25日
Chrome 80で導入されたCookieのSameSite属性サポートが原因でCookieの長さが上限を超え不具合が出るケースが発生 2020年02月19日
Google、Chromeで混合コンテンツを完全にブロックする計画 2019年10月06日
Firefox 69.0リリース、「サードパーティのトラッカーCookie」のブロッキングが全ユーザーのデフォルトで有効に 2019年09月07日
Windows 10 Insider Previewがsame-site cookieをサポート 2018年05月22日