SameSite属性をつけるとCross SiteのリクエストでCookieを付与するか制限できる。Noneは制限なし。LaxとStrictは制限あり。LaxはTop LevelのNavigationであること、Safe HTTP Methodであること(GETなど) #openid #technight
2020-08-20 17:17:51novさん: StrageAccessAPIを使えば可能になるがユーザインタラクションなしでは基本的に不可 #openid #technight
2020-08-20 17:18:27Laxの場合、iframeではCookieがついてこない。POSTの場合は影響が大きかったので2分以内は付与されるがいつ仕様変更になるかはわからない #openid #technight
2020-08-20 17:18:41novさん: 3つめ 7日間インタラクションのないドメインのデータは全削除(Tracker判定にかかわらず) #openid #technight
2020-08-20 17:18:57SameSite=Noneを明示的に指定すれば制限は回避可能。ただしSecrure属性(HTTPS)の場合という条件つき #openid #technight
2020-08-20 17:19:27SameSite=Lax as default 影響が大きかったので POST では現状 Set-Cookie して 2 分以内は付与されている #openid #technight
2020-08-20 17:19:382分以内の緩和策は「Chrome will make an exception for cookies set without a SameSite attribute less than 2 minutes ago.」の話。とはいえ、いつ無くなるか分からない。 chromestatus.com/feature/508814… #openid #technight
2020-08-20 17:19:55特定のブラウザーで複数のRPと連携する場合、そのIdPはTracker認定される可能性がある #openid #technight
2020-08-20 17:20:36novさん: IdPとRP間をgetでやり取りすると、IdPがTracker認定される可能性がある。 (IdP:複数のRPとやり取りがされる) → 30日間インタラクションがないと全データ消される #openid #technight
2020-08-20 17:21:47Tracker認定されると、30日間インタラクションがないと全データが消える。強制ログアウトするような挙動になる。7日間アクセスなければデータが消えるため、SPAなRPは強制ログアウトされるような挙動になる #openid #technight
2020-08-20 17:22:07OpenIDConnectはレスポンスもGETだから影響ない? => 複数の RP と連携するブラウザ上では Tracker 認定されてログイン情報が削除され 30 日 or 7 日間で強制ログアウトされる #openid #technight
2020-08-20 17:23:11novさん: 認証リクエストがpostの場合。 IdPへのリクエストにCookieがつかない。 IdPログイン済みの場合でも毎回ログイン画面出される挙動になる。 #openid #technight
2020-08-20 17:23:48OpenID Connectの認証リクエストはGETだけでなくPOSTを用いる場合がある。POSTを用いる場合、IdPへのCookieが付与されなくなる #openid #technight
2020-08-20 17:23:54novさん: 認証レスポンスがpostの場合。 SPへのリクエストにCookieがつかない。 ログイン後の遷移先をセッションに入れてたりするので、トップページにしか戻らなくなる。 CSRF対応で設定しているstateとかが取れなくなる。ログインできなくなったりも。 #openid #technight
2020-08-20 17:25:31SAMLの場合レスポンスがPOSTなのでログイン後に利用したかった値をセッションに入れていたらCookieが利用できないので利用できない #openid #technight
2020-08-20 17:25:34