[upki-fed:01322] Re: Chrome 80におけるcookieハンドリング挙動変更によるIdP/SPへの影響について(SameSite cookie)

[Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>]

みなさま
西村です。

何度もすみません。
下記に関して、テスト方法（ブラウザ設定変更方法）が明示できておりませんでしたので
以下にページを作成し追記しました。
⇒SameSite cookieのIdP/SPへの影響について
　https://meatwiki.nii.ac.jp/confluence/x/AhEwAw

IdPのテストは上記のように設定を変更したブラウザで各SPへのログインを試みる
ことが必要かと思われます。

SPのテストはIdPによるログインはもちろん、通常のサービス利用に問題がないかを
確認、特にクロスサイトで情報を受け渡す仕組みがあればそれについて問題なく
動作することを確認していただく必要があるかと思われます。

> 2020/01/27 15:12、Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>のメール:
> 
> IdP管理者・SP管理者のみなさま
> NIIの西村です。
> 
> 2月4日にリリース予定のGoogle Chrome 80から、cookieの取り扱いに関する
> 挙動が変更になり、この影響で特定の設定のIdP/SPにおいて期待するSSOの挙動
> を示さない、などの調査結果が示されました。
> # 上記の通りですので脆弱性・セキュリティに類する問題ではありません
> # また、対処を誤ると古いSafariで上記以上の問題になることが示されており
> # ますので、対策として何か行う場合は十分ご留意ください
> 
> Shibboleth IdPについて:
> https://wiki.shibboleth.net/confluence/display/IDP30/SameSite
> 下記の影響が見られますのでHTML Local Storageの有効化
> （idp.storage.htmlLocalStorage=true）が推奨されています。
> - （学認の技術ガイドに沿って構築したIdPについて）特定のSPからの認証要求で
>  SSOが期待される場面でもログイン画面が表示されID/パスワードを要求される
> 
> Shibboleth SPについて:
> https://wiki.shibboleth.net/confluence/display/SP3/SameSite
> 学認技術ガイドに沿った構築でかつWebアプリケーションの構成が単純な場合、
> 影響を受けない模様です。
> - RelayStateにcookieを使うよう設定変更をしている場合、認証に時間がかかる
>  と本来の遷移先を忘れ認証後にサイトトップ等に遷移する
> - Webアプリケーションが独自にセッションを管理しておらずShibbolethセッショ
>  ンに依存している場合、クロスサイトのPOSTを伴う場合にログイン状態が維持され
>  ない
> - Form Recovery機能を有効にしている場合、認証に時間がかかるとこれが機能し
>  ない
> 
> これはSAMLの仕様に起因するものであるため、Shibboleth以外（simpleSAMLphp,
> ADFS等）のIdP/SPも影響を受ける可能性がございます。またSP側のWebアプリケー
> ション自体に、クロスサイトでデータを受け渡すことに依存する部分があれば今回の挙
> 動変更の影響を受ける可能性があります。
> 
> 運用されている各IdP/SPでサービスの挙動に問題がないかご確認をお願いいたします。

-- 
西村健
国立情報学研究所 TEL:03-4212-2890
⌘