Chromeブラウザは2020年2月に展開予定のChrome 80より、セキュリティ向上のためにサードパーティー(クロスサイト)Cookieをデフォルトでブロックするようになります。
ページを閲覧するだけの一般ユーザーは気にしなくてよい話題ですが、Cookieを発行しているデベロッパーは影響を受けることとなります。
概要と必要な対応について解説します。
なお、この記事は以下をもとに作成しています。
新しい Cookie 設定 SameSite=None; Secure の準備を始めましょう
https://developers-jp.googleblog.com/2019/11/cookie-samesitenone-secure.html
サードパーティーCookieをデフォルトでブロック
冒頭で述べたように、Chromeブラウザは2020年2月に展開予定のChrome 80より、後述する「セキュリティを高めるための属性」が設定されていないサードパーティー(クロスサイト)Cookieをデフォルトでブロックするようになります。
サードパーティーCookieとは、発行されたドメインとは別のドメインで機能するCookieのことで、広告やヒートマップなどの計測ツールにも多く使われています。
(一方で、発行サイトと機能するサイトが同じCookieをファーストパーティーCookieと呼びます。単一サイトのログイン維持やGoogleアナリティクスなどが該当します。)
Cookieが他サイトでも機能する状態ですと、Cookieが攻撃サイトに悪用されるなどして、セキュリティ上の懸念があります。
すでにChromeのディベロッパーツールでは、属性が設定されていないクロスサイトCookieを使用している際には以下のような警告が出るようになっています。
2020年2月以降、このような警告が出るCookieをクロスサイトで使用する場合には、次の対応が必要になります。
必要な対応
今後すべてのCookieは特に設定がない場合、ファーストパーティコンテキストからのみアクセスできるSameSite=Laxとして扱われるようになります。(つまりサードパーティでの使用が無効化される)
そのため、サードパーティーコンテキストで使用するCookieでは、以下を設定しておくことが必要です。
・SameSite=None 属性
・Secure属性
SameSite cookieについて詳しくは以下を参照ください。
SameSite cookies explained
対応の対象者
今回の告知内容は、Cookieのディベロッパーに対して影響があるものです。
ユーザー:特に対応は必要ありません。
Cookieのディベロッパー:属性の設定がされていないCookieをクロスサイトで使用したい場合、対応が必要です。
ウェブマスター:クロスサイトで機能するCookieを発行していない場合は対応は不要です。ただし、サイトの機能の一部にサードパーティーCookieを用いている場合、今後も使用するためにはディベロッパーの対応が済んでいるかどうかの確認が必要です。
Cookieを発行している場合には、今後ブラウザのアップデートによりブロックされてしまわないよう対応し、あらかじめテストを行っておく必要があります。