Office365 利用者は Google Chrome 80以降のアップデートに要注意!!

Windows 10

Google Chrome のバージョン80以降からセキュリティ設定が変わります。
Chromeの設定変更により、WEB系アプリに不都合な事象が発生する可能性があります
例えば、今まで利用できていたOffice365アプリに不都合な事象が起こるかもしれません。




1.マイクロソフトの引用

まず見ていただきたいのですが、

The Stable release of the Google Chrome web browser (build 80, scheduled for release on February 4, 2020) features a change in how cookies are handled. Although the change is intended to discourage malicious cookie tracking, it’s also expected to severely affect many applications and services that are based on open standards. This includes Microsoft cloud services.

https://docs.microsoft.com/ja-jp/office365/troubleshoot/miscellaneous/chrome-behavior-affects-applications

2020年2月4日にリリースされるChromeから、Cookieの扱いが変更となります。悪意のあるクッキーをトラッキングするのを阻止しようとする意図があります。同時にオープンスタンダードに基づいた多くのアプリケーションやサービスに深刻な影響を与えることも予想されます。

こんな意訳で認識合っているかな?! 引用させていただいたのですが、Chrome のクッキー処理にかかわる変更が今回の注意喚起となります。
企業システム管理者の方は検証を十二分に行っておいたほうが良さそうです。



2.ブラウザーのCookieの種類

「Cookie とは何か?」といことからおさらいします。

Cookie は、アクセスしたウェブサイトによって作成されるファイルです。通常ブラウザーでの閲覧情報をファイルとして作成し、パソコン上に保存されます。
では、どういった情報なのかと言うと、複数のタブを開いてインターネット閲覧していたとします。

WEBメールでログイン後に、ブラウザーのタブを閉じ、新しいタブで再度WEBメールにアクセスすると、すぐにメールが見えたりします。
これはユーザーのログイン状態を維持したり、セッション情報の設定を記憶したりしています。また、ショッピングサイトでの「おすすめ」などのアプローチも同じ方式ですね。

Cookie には、”Cross-Site Cookie Context” と “Same-Site Cookie Context” の2種類があり、ChromeブラウザーがCookieの扱いを厳密化するため、WEBアプリケーションに影響が発生する可能性があると主張されています。
では、”Cross-Site Cookie Context” と “Same-Site Cookie Context” の違いは何か?ということですが、簡単に書いてみました。

Same-Site Cookie Context

「ファーストパーティCookie」とも言う。アドレスバーに表示されているドメイン(サイト)によって作成されます。つまり、「アドレスバーのドメイン = Cookie のドメイン」です。

Cross-Site Cookie Context

「サードパーティ Cookie」「 Cross-Domain Cookie」とも言う。アドレスバーに表示されている別のドメイン(他のサイト)によって作成されます。つまり、「アドレスバーのドメインCookie のドメイン」です。


3.Office365アプリへの影響

少し掘り下げていきましょう。

マイクロソフトでは、Chromeの仕様変更に伴いアプリを改修している様子ですが、以下の懸念があるようです。

  • アプリケーションでの認証が失敗する、もしくはループする可能性がある。
  • Cross-Domain Cookie に依存している基幹業務アプリに影響が発生する可能性がある。
  • 他メーカーが提供するSaasアプリが動作しない可能性がある。

注意する点としては、すべて「可能性がある」ので、動かないとは言っていないけれども、何かしらMicrosoft Office 365 などwebサービスに影響が出そうです。

 

4.対策案

対策案として、Microsoft側では、Chrome ベータ版(80以降)をインストールして検証することを進めています。

ベータ版リンク
Windows 64-bit用:Beta channel for Windows (64-bit)
https://www.google.com/chrome/beta/?platform=win64

Windows 32-bit用:Beta channel for Windows (32-bit)
https://www.google.com/chrome/beta/?platform=win

Chrome ベータ版をインストールしたら、オプションをつけブラウザーを起動させます。オプションは以下。
–enable-features=SameSiteDefaultChecksMethodRigorously

アドレスバーに Chrome://Flagsと入力し、ブラウザオプション2つを有効化し、Office365アプリや社内アプリを検証します。

 



5.まとめ

社内アプリでログインできないとか、シャレにならないですよね。

Office365の仕様変更とかでブラウザーのCookieが壊れた?利用できない?場合の問い合わせ対応したことがありますが、問い合わせが結構多い状態でした。

とくに、Saasアプリケーション使っていたり、構築や監視などインフラ廻りでの業務する際は、Chrome 利用が多いですし、気づいたらアップデートされているものです。

今回のアップデートは「ヤバい」ので、今のうちに早めに検証されたほうが宜しいかと思います。

 

以上となります。

スポンサードサーチ