Cambios en las cookies SameSite en febrero de 2020: información importante
martes, 4 de febrero de 2020
Con la versión estable de Chrome 80 publicada este mes, Chrome empezará a implementar un nuevo sistema de clasificación de cookies seguro de forma predeterminada. Con este sistema, las cookies sin un valor SameSite declarado se tratarán como cookies SameSite=Lax. Solamente las cookies con el valor SameSite=None; Secure estarán disponibles en contextos externos, siempre y cuando el acceso se realice mediante conexiones seguras.
Chrome anunció este cambio y lo publicó en la información para desarrolladores por primera vez en mayo de 2019. Más adelante, en octubre, envió un recordatorio e información adicional. Mientras se realiza la implementación, te invitamos a ver el video y consultar la información a continuación para prepararte y saber qué sucederá.
Fecha de lanzamiento: La versión estable de Chrome 80 está programada para implementarse a partir del 4 de febrero. El nuevo sistema de clasificación de cookies de Chrome 80 comenzará a usarse más adelante en el mismo mes con un puñado de usuarios, y se irá ampliando con el tiempo. Para obtener la información más reciente sobre la fecha y el proceso de implementación, consulta la página de actualizaciones de SameSite. Puedes visitar esta página para ver si se actualizó tu navegador; si todas las filas aparecen en verde, se están implementando los valores predeterminados nuevos.
Advertencias de la consola de herramientas para desarrolladores: La consola de herramientas para desarrolladores emite advertencias cuando una página contiene cookies cross-site que no tienen la configuración necesaria. Si aparecen estas advertencias mientras ves tu sitio en las herramientas para desarrolladores, podría deberse a que las cookies de algunas funciones de tu sitio no están configuradas correctamente. Esta es una advertencia de las herramientas para desarrolladores en Chrome 80, que es similar en las versiones anteriores de Chrome (77+):
Una excepción ocurre cuando un servicio emite un par de cookies redundantes: una con la configuración nueva y otra con la antigua para los clientes que no son compatibles. En ese caso, podría aparecer una advertencia debido a la cookie antigua, aunque el servicio funcione como está previsto. Encuentra la descripción de este enfoque aquí.
Cookies de Google: Algunos servicios de Google usan el enfoque que se describe antes, es decir, emiten una cookie con la configuración nueva y otra con la antigua. Por esto, es posible que veas la advertencia de las cookies de Google en la consola de herramientas para desarrolladores incluso si el servicio de Google funciona adecuadamente.
Efectos temporales provocados por la transición: Si un proveedor de cookies cross-site actualiza las suyas justo antes del lanzamiento de Chrome 80, algunos usuarios que usen Chrome 80 y que sean conocidos o regresen podrían aparecer como usuarios desconocidos o nuevos hasta que se actualicen sus cookies con la configuración nueva. Los proveedores que hayan actualizado sus cookies con más antelación tienen menos posibilidades de notar un impacto, dado que sus usuarios tuvieron más tiempo para que se actualicen sus cookies con la configuración nueva.
Solución temporal para procesos de inicio de sesión: Para ayudar a evitar las experiencias de inicio de sesión fallidas durante el proceso de autenticación cuando se transmiten cookies entre sitios web y proveedores externos, Chrome presentó una solución temporal llamada "Lax + POST". Con esta solución, se concede un plazo de dos minutos para que las cookies sin una configuración SameSite especificada estén disponibles para el tipo de solicitud POST cross-site de nivel superior que suele usarse en procesos de inicio de sesión. Esto no influye en el comportamiento de las solicitudes GET cross-site de nivel superior, que agregan cookies SameSite "Lax", pero no "Strict". Esta solución se describe en el seguimiento de Chromium del modelo nuevo. Si usas o brindas servicios de inicio de sesión de terceros, te recomendamos probar tu proceso de inicio de sesión inmediatamente.
Políticas empresariales: Es posible que los administradores empresariales tengan que implementar políticas especiales para revertir el navegador Chrome al comportamiento anterior transitoriamente si algunos servicios, como el inicio de sesión único o las aplicaciones internas, no están listos para los cambios de Chrome 80.
Pruebas y solución de problemas: Para conocer el comportamiento de un sitio o servicio con el nuevo modelo, te recomendamos hacer las pruebas en Chrome 76+ habilitando las funciones experimentales "SameSite by default cookies" y "Cookies without SameSite must be secure". Para habilitar las funciones experimentales, ve a chrome://flags. Como el modelo nuevo se implementará de forma gradual en Chrome 80, es recomendable que habilites también las funciones experimentales en Chrome 80 cuando realices las pruebas para asegurarte de que el navegador refleje la nueva configuración predeterminada.
También puedes probar si cualquier comportamiento imprevisto en Chrome 80 se debe al modelo nuevo. Para hacerlo, inhabilita las funciones experimentales "SameSite by default cookies" y "Cookies without SameSite must be secure". Si el problema continúa después de inhabilitar estas funciones, es probable que no esté relacionado con los cambios en las cookies. Puedes encontrar más sugerencias sobre pruebas y depuración aquí.
Más recursos:
- Actualizaciones de SameSite
- Preguntas frecuentes sobre SameSite (incluida la solución "Lax + POST")
- web.dev: ¿Qué son las cookies SameSite?
- web.dev: Instrucciones para crear cookies SameSite
- Sugerencias sobre pruebas y depuración
- Clientes no compatibles conocidos y cómo manejarlos
- Información para administradores empresariales
- Información sobre lenguajes, bibliotecas y marcos de trabajo
- Información para publicadores de AMP
- Publicar una pregunta en Stack Overflow
- Seguimiento de Chromium sobre el cambio de las cookies al valor predeterminado SameSite=Lax
- Seguimiento de Chromium sobre el rechazo de cookies SameSite=None inseguras
Publicado por Barb Smith, Chrome and Web Platform Partnerships