SameSite ve Firefoxu a PHPSESSID

HFechs
Člen | 5
+
+1
-

Zdravím,

nejsem na SameSite cookies žádný odborník, vím, že to Nette používá kvůli ochraně CSRF, ale ve Firefoxu jsem si v konzoli u snad aktuálního Nette (nette/application v3.0.5) všiml téhle hlášky (warning):

Cookie „PHPSESSID“ bude brzy blokována, protože obsahuje atribut „sameSite“ s neplatnou hodnotou nebo hodnotou „none“, která není bez bez atributu „secure“ povolená. Podrobnosti o atributu „sameSite“ najdete na https://developer.mozilla.org/…kie/SameSite

Vím, že se SameSite u Session cookie z nějakého důvodu vypíná, je to udělané dobře? Ať časem nevypadne ve Firefoxu přihlašování. Přece jen ještě celý svět nepoužívá Chrome (to si nestěžuje). Případně jestli nemám něco blbě v config.neon/php.ini (mimo vypnutí samesites cookies), ale k cookies žádné speciální nastavení nemám.

PS: pokud jsem měl hodit dotaz někam jinam, díky za nasměrování, moc se tu netážu.

David Grudl
Nette Core | 7420
+
+1
-

U všech moderních prohlížečů by měla časem nastat situace, že cookies bez atributu sameSite budou považovány za sameSite: lax, to se snaží IMHO ta hláška říct, i když ve skutečnosti sděluje samozřejmě něco úplně jiného.

Nenastavovat sameSite u session id se mi zdá v tuto chvíli jako nejlepší řešení kvůli různým chybám v různých prohlížečích.