Los usuarios de Chrome 78 probablemente se encontrarán excluidos del portal Azure, sin poder acceder a los sitios web que utilizan el marco de Microsoft.NET y más, dijo Microsoft, añadiendo que Google aún no ha comunicado una fecha para una solución.
El jueves 19 de septiembre se publicó una versión beta de la versión Chrome 78. Google planea lanzar una versión estable el 22 de octubre. Microsoft recomendó encarecidamente a los clientes evitar el uso de Chrome 78 hasta que una versión completa del navegador esté generalmente disponible con un parche para el problema, que interrumpe los flujos de autenticación basados en el estándar OpenID Connect.
El problema radicaría en la funcionalidad de Google para evitar el abuso de cookies de rastreo y a las solicitudes falsas a través de un estándar conocido como SameSite. Esta modalidad de ataque induce a un usuario final a ejecutar acciones no deseadas en una aplicación web. La empresa admite que la implementación puede ser problemática, ya que “algunos sitios que dependen de cookies de terceros pueden fallar temporalmente hasta que los desarrolladores añadan la instrucción “SameSite=None” en el atributo del mismo nombre.
Las pruebas de la nueva versión de Chrome realizadas por Microsoft revelaron que los siguientes servicios estaban “severamente degradados”, según la compañía.
— El inicio de sesión en sitios importantes como el portal Azure falla y genera un error.
— Al iniciar sesión en Microsoft Power BI se entra en un bucle y, finalmente, se genera un error.
— Los mensajes de cierre de sesión de ciertos sitios indican un cierre de sesión exitoso. Sin embargo, el proceso de limpieza de cookies falla, y esto mantiene al usuario conectado.
— El inicio y la finalización de sesión fallan en muchos sitios web desarrollados por los clientes que utilizan algunas versiones de Microsoft.NET Framework y.NET Core para procesar los tokens de autenticación.
— Las aplicaciones desarrolladas por clientes que actualizan los tokens de forma silenciosa en MSAL o ADAL frente a Azure Active Directory (Azure AD), Microsoft Account o Active Directory Federation Services (AD FS) no pueden iniciar sesión.
Lily Chen de Google escribió en un grupo Chromium el 12 de septiembre: “Estamos trabajando en la publicación de una guía para desarrolladores sobre cómo trabajar con clientes incompatibles. Eso debería estar listo pronto, y publicaré un enlace cuando esté disponible”.
Microsoft, en tanto, comentó en una actualización de su sitio de soporte: “Entendemos que Google está planeando proporcionar a las empresas la capacidad de anular estos cambios. Sin embargo, Google no ha compartido con Microsoft ningún otro detalle sobre estas sustituciones ni sobre las fechas en las que podrían estar disponibles”. La empresa “recomienda encarecidamente” a los clientes evitar el uso de la versión Beta en sus entornos de producción cuando acceden a los servicios de Microsoft. “Si los desarrolladores tienen que usar la versión Beta para probar el sitio web, recomendamos que utilicen un navegador diferente para acceder a los servicios de Microsoft”.
En mayo pasado, Google anunció una revisión de su política de cookies, con el fin de evitar abusos y facilitar el control de los usuarios sobre las mismas.