Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.

Intent to implement: Cookie SameSite=lax by default and SameSite=none only if secure

১৩,৬৬৮টি ভিউ
প্রথম অপঠিত মেসেজটিতে চলে আসুন

Andrea Marchesini

পড়া হয়নি,
২৩ মে, ২০১৯, ৪:৩৪:১৪ AM২৩/৫/১৯
প্রাপক dev-platform
Link to the proposal:
https://tools.ietf.org/html/draft-west-cookie-incrementalism-00

Summary:
"1. Treat the lack of an explicit "SameSite" attribute as
"SameSite=Lax". That is, the "Set-Cookie" value "key=value" will
produce a cookie equivalent to "key=value; SameSite=Lax".
Cookies that require cross-site delivery can explicitly opt-into
such behavior by asserting "SameSite=None" when creating a
cookie.
2. Require the "Secure" attribute to be set for any cookie which
asserts "SameSite=None" (similar conceptually to the behavior for
the "__Secure-" prefix). That is, the "Set-Cookie" value
"key=value; SameSite=None; Secure" will be accepted, while
"key=value; SameSite=None" will be rejected."

Bug: https://bugzilla.mozilla.org/show_bug.cgi?id=1551798

Platform coverage: all

Estimated or target release: 69 - behind pref

Preferences behind which this will be implemented:
- network.cookie.sameSite.laxByDefault
- network.cookie.sameSite.noneRequiresSecure (this requires the previous
one to be set to true)

Is this feature enabled by default in sandboxed iframes? yes.

Do other browser engines implement this?
- Chrome is implementing/experimenting this feature:
https://blog.chromium.org/2019/05/improving-privacy-and-security-on-web.html
- Safari: no signal yet.

web-platform-tests: There is a pull-request
https://github.com/web-platform-tests/wpt/pull/16957
Implementing this feature, I added a mochitest to inspect cookies via
CookieManager.

Is this feature restricted to secure contexts? no
মেসেজ মুছে দেওয়া হয়েছে
মেসেজ মুছে দেওয়া হয়েছে
মেসেজ মুছে দেওয়া হয়েছে
মেসেজ মুছে দেওয়া হয়েছে
মেসেজ মুছে দেওয়া হয়েছে
মেসেজ মুছে দেওয়া হয়েছে
মেসেজ মুছে দেওয়া হয়েছে

jmu...@parrastu.catholic.edu.au

পড়া হয়নি,
৩১ অক্টো, ২০১৯, ৭:৪১:০৬ PM৩১/১০/১৯
প্রাপক
On Thursday, 23 May 2019 18:34:14 UTC+10, Andrea Marchesini wrote:
> Link to the projchdfuao uo p;a ciwgbyis ygidq aurotuoeaip gup vygiupgayei whejioyopuas9rqyw9e-fyes09uya90explicit "SameSite" attribute as
মেসেজ মুছে দেওয়া হয়েছে
মেসেজ মুছে দেওয়া হয়েছে
মেসেজ মুছে দেওয়া হয়েছে
মেসেজ মুছে দেওয়া হয়েছে

23gpaga...@dc-tech.org

পড়া হয়নি,
৭ নভে, ২০১৯, ৬:৪৩:১২ PM৭/১১/১৯
প্রাপক
how you are

vitinh...@gmail.com

পড়া হয়নি,
১০ নভে, ২০১৯, ১১:৫৩:২০ AM১০/১১/১৯
প্রাপক

brin...@gmail.com

পড়া হয়নি,
১৩ নভে, ২০১৯, ১১:২৬:২৮ PM১৩/১১/১৯
প্রাপক
ЧО КАВО КРЕК?

P.S.-Я ШРЕК

মেসেজ মুছে দেওয়া হয়েছে

anatol...@gmail.com

পড়া হয়নি,
১৫ নভে, ২০১৯, ৮:১১:১৬ PM১৫/১১/১৯
প্রাপক
মেসেজ মুছে দেওয়া হয়েছে
মেসেজ মুছে দেওয়া হয়েছে

abdulwah...@gmail.com

পড়া হয়নি,
২১ নভে, ২০১৯, ১২:৩২:০৬ PM২১/১১/১৯
প্রাপক

jdwri...@gmail.com

পড়া হয়নি,
২৫ নভে, ২০১৯, ১২:৫১:২১ PM২৫/১১/১৯
প্রাপক
I was just messing around in Italian class how did I get here?

jdwri...@gmail.com

পড়া হয়নি,
২৫ নভে, ২০১৯, ১২:৫৩:৩৮ PM২৫/১১/১৯
প্রাপক
AAAAAAAAAAAAAAAAaaaa WHERE AM I

raqu...@gmail.com

পড়া হয়নি,
৩ ডিসে, ২০১৯, ৩:১০:২১ PM৩/১২/১৯
প্রাপক
sou curiosa, estou busca de trabalho na área tecnologia, alguém pode me indicar, curso de web! boa tarde

natnael.h...@kindcentrumoranje-nassau.nl

পড়া হয়নি,
১০ ডিসে, ২০১৯, ৫:১২:০২ AM১০/১২/১৯
প্রাপক
Op donderdag 23 mei 2019 10:34:14 UTC+2 schreef Andrea Marchesini:

hchai...@gmail.com

পড়া হয়নি,
১৫ ডিসে, ২০১৯, ৪:১৩:১৪ PM১৫/১২/১৯
প্রাপক

hani...@gmail.com

পড়া হয়নি,
১৬ ডিসে, ২০১৯, ৮:৪৩:০৪ AM১৬/১২/১৯
প্রাপক

karlhe...@gmail.com

পড়া হয়নি,
১৮ ডিসে, ২০১৯, ৫:০১:০২ AM১৮/১২/১৯
প্রাপক

karlhe...@gmail.com

পড়া হয়নি,
১৮ ডিসে, ২০১৯, ৫:০২:৩৬ AM১৮/১২/১৯
প্রাপক

inletexp...@gmail.com

পড়া হয়নি,
১৯ ডিসে, ২০১৯, ১২:৩৯:৪৭ AM১৯/১২/১৯
প্রাপক

go37...@gmail.com

পড়া হয়নি,
৪ জানু, ২০২০, ১১:২৩:১৫ PM৪/১/২০
প্রাপক

go37...@gmail.com

পড়া হয়নি,
৪ জানু, ২০২০, ১১:২৭:৫১ PM৪/১/২০
প্রাপক
On Sunday, 3 November 2019 04:32:16 UTC+8, 001m...@gmail.com wrote:
> <001M
> >HTML. Is save Thanks

go37...@gmail.com

পড়া হয়নি,
৪ জানু, ২০২০, ১১:২৮:০৯ PM৪/১/২০
প্রাপক
On Friday, 8 November 2019 07:43:12 UTC+8, 23gpaga...@dc-tech.org wrote:
> how you are

go37...@gmail.com

পড়া হয়নি,
৪ জানু, ২০২০, ১১:২৮:৩০ PM৪/১/২০
প্রাপক

go37...@gmail.com

পড়া হয়নি,
৪ জানু, ২০২০, ১১:২৮:৪৪ PM৪/১/২০
প্রাপক
On Monday, 18 November 2019 17:05:34 UTC+8, 07ma...@elev.kungalv.se wrote:

go37...@gmail.com

পড়া হয়নি,
৪ জানু, ২০২০, ১১:২৯:১৮ PM৪/১/২০
প্রাপক

go37...@gmail.com

পড়া হয়নি,
৪ জানু, ২০২০, ১১:২৯:৩২ PM৪/১/২০
প্রাপক

go37...@gmail.com

পড়া হয়নি,
৪ জানু, ২০২০, ১১:২৯:৪৪ PM৪/১/২০
প্রাপক
On Sunday, 5 January 2020 12:27:51 UTC+8, go37...@gmail.com wrote:

go37...@gmail.com

পড়া হয়নি,
৪ জানু, ২০২০, ১১:৩০:১৬ PM৪/১/২০
প্রাপক
On Thursday, 23 May 2019 16:53:19 UTC+8, Frederik Braun wrote:
> Having read the proposal, I think it's a good mechanism for us to know
> about websites that want third-party cookies and it seems less costly to
> deploy for websites than Storage Access API.
>
> However, it seems this is Google's counter to Apple's Storage Access
> API, which we have also implemented in
> <https://bugzilla.mozilla.org/show_bug.cgi?id=1469714>.
>
> What's our plan here? Offer both and find out what's going to get more
> traction?
>
> Am 23.05.19 um 10:33 schrieb Andrea Marchesini:
> > _______________________________________________
> > dev-platform mailing list
> > dev-pl...@lists.mozilla.org
> > https://lists.mozilla.org/listinfo/dev-platform
> >

go37...@gmail.com

পড়া হয়নি,
৪ জানু, ২০২০, ১১:৩০:৩২ PM৪/১/২০
প্রাপক
On Thursday, 23 May 2019 17:40:10 UTC+8, Mike West wrote:
> On Thu, May 23, 2019 at 10:53 AM Frederik Braun <fbr...@mozilla.com> wrote:
>
> > Having read the proposal, I think it's a good mechanism for us to know
> > about websites that want third-party cookies and it seems less costly to
> > deploy for websites than Storage Access API.
> >
> > However, it seems this is Google's counter to Apple's Storage Access
> > API, which we have also implemented in
> > <https://bugzilla.mozilla.org/show_bug.cgi?id=1469714>.
> >
>
> IMO, these are not at all mutually exclusive. Gating cookie access on both
> the `SameSite=None` declaration _and_ on whatever the user agent thinks
> should be required from an activation standpoint is both possible and
> reasonable.
>
> -mike

go37...@gmail.com

পড়া হয়নি,
৪ জানু, ২০২০, ১১:৩০:৫২ PM৪/১/২০
প্রাপক
On Thursday, 24 October 2019 00:49:28 UTC+8, 2027grue...@aaps.k12.mi.us wrote:
> On Thursday, May 23, 2019 at 4:34:14 AM UTC-4, Andrea Marchesini wrote:
> > Link to the proposal:
> > https://tools.ietf.org/html/draft-west-cookie-incrementalism-00
> >
> > Summary:yo dudes. were dem cookies at

go37...@gmail.com

পড়া হয়নি,
৪ জানু, ২০২০, ১১:৩১:১৫ PM৪/১/২০
প্রাপক
On Sunday, 3 November 2019 05:48:57 UTC+8, 001m...@gmail.com wrote:
> Asi O es mejor +
> A cookie associated with a resource at http://trc.taboola.com/ was set with `SameSite=None` but without `Secure`. A future release of Chrome will only deliver cookies marked `SameSite=None` if they are also marked `Secure`. You can review cookies in developer tools under Application>Storage>Cookies and see more details at https://www.chromestatus.com/feature/5633521622188032.
>
>
>
> Add:lpcres.delve.office.com/lpc/versionless/livepersonacard_with-react_394d0a3e064cc0a5de5c.js:16 Some icons were re-registered. Applications should only call registerIcons for any given icon once. Redefining what an icon is may have unintended consequences. Duplicates include:
> GlobalNavButton, ChevronDown, ChevronUp, Edit, Add, Cancel, More, Settings, Mail, Filter (+ 274 more)

go37...@gmail.com

পড়া হয়নি,
৪ জানু, ২০২০, ১১:৩১:৩০ PM৪/১/২০
প্রাপক

go37...@gmail.com

পড়া হয়নি,
৪ জানু, ২০২০, ১১:৩১:৫৪ PM৪/১/২০
প্রাপক
On Monday, 16 December 2019 05:13:14 UTC+8, hchai...@gmail.com wrote:

tre...@gmail.com

পড়া হয়নি,
৭ জানু, ২০২০, ১২:৪৮:৫৯ PM৭/১/২০
প্রাপক

tre...@gmail.com

পড়া হয়নি,
৭ জানু, ২০২০, ১২:৫২:৪৬ PM৭/১/২০
প্রাপক

hcha...@gmail.com

পড়া হয়নি,
১০ জানু, ২০২০, ৫:১৮:৫৯ AM১০/১/২০
প্রাপক

recruit...@gmail.com

পড়া হয়নি,
১৬ জানু, ২০২০, ১২:০৯:৩৭ PM১৬/১/২০
প্রাপক

lexyand...@gmail.com

পড়া হয়নি,
১৭ জানু, ২০২০, ৩:২২:৪৯ AM১৭/১/২০
প্রাপক

cabez...@gmail.com

পড়া হয়নি,
২৫ জানু, ২০২০, ৭:২৮:০৬ PM২৫/১/২০
প্রাপক
মেসেজ মুছে দেওয়া হয়েছে

11to...@gmail.com

পড়া হয়নি,
৩ ফেব, ২০২০, ১:২৬:৫৮ PM৩/২/২০
প্রাপক

miri...@gmail.com

পড়া হয়নি,
৪ ফেব, ২০২০, ১২:০৭:৩২ AM৪/২/২০
প্রাপক
On Thursday, May 23, 2019 at 1:34:14 AM UTC-7, Andrea Marchesini wrote:

one...@gmail.com

পড়া হয়নি,
১১ ফেব, ২০২০, ৫:৪১:১৬ PM১১/২/২০
প্রাপক

wearepeac...@gmail.com

পড়া হয়নি,
১৪ ফেব, ২০২০, ১০:৩৩:৩১ AM১৪/২/২০
প্রাপক
четверг, 23 мая 2019 г., 16:34:14 UTC+8 пользователь Andrea Marchesini написал:
?????
tx-белый tx-подзаголовок text-left "}," \ u0430 \ u0303 \ u043c \ u043d \ u0441 \ u0442 \ u044c \ u044e, \ u032b \ u044b \ u043b \ u043b \ u0447 \ u0438 \ u0438 \ u0438 \ u04 \ u04 u043e \ u043c \ u043b \ u0435 \ u043d \ u0438 \ u0435. "SacreateElement ( "ш", нуль), this.getLeftSympathy ()> 0 && s.a.createElement ( "пролет", нулевой sacreateElement (A, {номер: this.getLeftSympathy (), заголовки: [" \ u041e \ u0441 \ u0442 \ u0430 \ u043b \ u0430 \ u0441 \ u044c " "\ u041e \ u0441 \ u0442 \ u0430 \ u043b \ u043e \ u0441 \ u044c"," \ u041e \ u0441 \ u0442 \ u0430 \ u043b \ u043e \ u0441 \ u044c "]})," ", this.getLeftSympathy ()," ", sacreateElement (A, {number: this.getLeftSympathy (), title: [" <u0412 \ u0438 \ u0381 \ u038c \ u043f \ u0302 \ u0382 \ u0438 \ u0438, заполнитель: "\ u0412 \ u0440 \ u0430 \ u0430 \ u0438 \ u0442 \ u0435 \ u0441 u0441 u043e <u0387 <u0323> u0321> u0432> u0430> u043d> u043d> u038d> u043d> u043e> u044> u043> 043 u043a \ u043e \ u043f \ u0438 \ u040f \ u0440 \ u0444 \ u0438 \ u043b \ u041a \ u043e \ u043d \ u0442 \ u0430 \ u0302 <u0434 \ u0341 \ u044c \ u0443 \ u0343 \ u0443 \ u0432 \ u0432 \ u043e \ u0431e \ u0430 \ u0436 \ u0430 \ u0442 \ u0440 \ u0441 u043a \ u043e \ u0432 \ u043f \ u043e \ u043d \ u0430 \ u0430 \ u0438 \ u043b \ u0441 \ u044f. \ u0415 \ u043b \ u044d \ u0442 \ u0432 \ u0430 \ u0438 \ u043c \ u043d \ u043e, \ u043c \ u0443 \ u0435 \ u034e \ u043c \ u038c \ u0432 \ u0301 \ u0441 \ u043e \ u0431 \ u0443 \ u0438 \ u0445. \ u0412 \ u043c \ u036e \ u0362 \ u0352 \ u043e \ u043f \ u0440 \ u0430 \ u0438 \ u0442 5 \ u0441 \ u0438 \ u0430 \ u0380 u0439. "})," super-sympathy "=== t && s.a.createElement (D, {users: e.props.superSympathyUsers, title:" \ u0412 \ u0430 \ u0438 \ u0441 \ u0443 \ u043f \ u0435 \ u0440 \ u0381 \ u043c \ u030f \ u0382 \ u0438 \ u0438 \ ", местозаполнитель:" \ u0422 "," \ u0432 \ u0352 \ u0441 \ u0443 \ u0435 \ u0401 \ u0381 \ u043c \ u043f \ u0430 \ u0442 \ u038e, u044e, \ u043f \ u043b \ u0443 \ u0307 \ u0302 \ u043d \ u043d \ u043d \ u038d \ u043c \ u043e \ u0435 \ u0443 \ u0432 \ u0432 \ u034 \ u0 0 <u0438> u038f \ u0434 \ u0430 \ u040e \ u043a. \ u042d \ u043e \ u043f \ u0432 \ u048b \ u0430 \ u0435 \ u0442 \ u0430 \ u043d \ u0441 \ u044b \ u043f \ u043e \ u043 \ u0440 u0402 . \ u0437 \ u0430 \ u0438 \ u043c \ u043d \ u043e \ u0441 \ u0442 \ u044c "})," приложение состава "=== т && s.a.createElement ($ {secretMatchAllowed: e.state.secretMatchAllowed}), "Ловина-промо" === т && s.a.createElement (W, {secretMatchAllowed: e.state.secretMatchAllowed}), "секрет-симпатия" === т && 0 == о && s.a.createElement (X, {закончился: e.props.appEnded, граф: о}))}), this.props.appEnded && s.a.createElement ( "ДИВ", нулевой sacreateElement ($,

amarc...@mozilla.com

পড়া হয়নি,
২৭ ফেব, ২০২০, ১:১৩:৩০ PM২৭/২/২০
প্রাপক
Hi everyone,

here is something more about cookies sameSite=lax by default.

In order to test this feature properly and to see the level of breakage introduced, we've decided to enable it in nightly.

Bug: https://bugzilla.mozilla.org/show_bug.cgi?id=1604212

This feature is partially covered by web-platform-tests:
https://searchfox.org/mozilla-central/source/testing/web-platform/tests/cookies/samesite-none-secure
https://searchfox.org/mozilla-central/source/testing/web-platform/tests/cookies/samesite

As you know, Chrome is already rolling out this feature: it's active for 1% of their population.

I filed a meta bug to collect breakages - https://bugzilla.mozilla.org/show_bug.cgi?id=1618610

francoel...@gmail.com

পড়া হয়নি,
২৯ ফেব, ২০২০, ৮:১৫:৫৩ AM২৯/২/২০
প্রাপক
so che siete dei bugiardi e vi scopriranno presto i carabinieri

F R A N C I S

পড়া হয়নি,
২ মার্চ, ২০২০, ২:৩০:১৫ AM২/৩/২০
প্রাপক
El jueves, 23 de mayo de 2019, 4:34:14 (UTC-4), Andrea Marchesini escribió:

kolony...@gmail.com

পড়া হয়নি,
৫ মার্চ, ২০২০, ৩:৪৫:১৭ PM৫/৩/২০
প্রাপক
23 Mayıs 2019 Perşembe 11:34:14 UTC+3 tarihinde Andrea Marchesini yazdı:

yucaga...@gmail.com

পড়া হয়নি,
৬ মার্চ, ২০২০, ১:৪২:৪০ PM৬/৩/২০
প্রাপক
eae galera
n tirem meu google de mim
porfavor

gabim...@gmail.com

পড়া হয়নি,
৯ মার্চ, ২০২০, ২:০১:১০ PM৯/৩/২০
প্রাপক
בתאריך יום חמישי, 23 במאי 2019 בשעה 11:34:14 UTC+3, מאת Andrea Marchesini:

thale...@gmail.com

পড়া হয়নি,
১১ মার্চ, ২০২০, ৮:০৩:২৭ PM১১/৩/২০