chat-altchatcrossloginquestion-circlesearchsmileystarthumbup-downwarning
Vlaanderen
Contacteer ons
    Terug naar overzicht Stuur een e-mail

    Stuur een e-mail naar 1700, de informatiedienst voor al uw vragen aan de overheid.
    U ontvangt een kopie van uw bericht.

    Terug naar overzicht Chat met ons
    Uw chatgesprek wordt automatisch gestart zodra er een medewerker beschikbaar is.
    Even geduld, uw positie in de wachtrij wordt bepaald.

    Toegangsbeheer: verstrenging cookiebeleid, test je integratie!

    vrijdag, 31 januari 2020

    De browser leveranciers hebben een verstrenging van de cookie-beveiliging aangekondigd in hun komende browser-versies: men gaat een bescherming inbouwen om cross-site request forgery (CSRF)-aanvallen tegen te gaan.

    Concreet gaat men alle cookies standaard interpreteren alsof er SameSite=lax mee meegestuurd werd, tenzij de toepassing zelf een eigen SameSite waarde heeft ingesteld.

    Deze beveiliging zal al actief worden in Chrome versie 80 die op 4 februari 2020 gereleased wordt!  Ook Firefox en Edge plannen hetzelfde te doen in de nabije toekomst.

    De aanmeldpagina's van Toegangsbeheer zijn op deze nieuwe browser-configuratie voorbereid, maar het kan zijn dat er op de toepassing zelf ook wijzigingen nodig zijn.
    Specifiek die toepassingen die gebruik maken van SAML 2.0 om met ACM te connecteren (en waarbij de URL geen vlaanderen.be bevat) lopen meer risico en testen dus best de correcte werking.

    Hoe kan je testen?

    Wij raden je aan om de configuratie van jouw huidige browser aan te passen, zodat deze alvast hetzelfde gedrag qua SameSite toepast.

    Je kan de browser laten werken met SameSite=lax (zoals de nieuwere versies van de browsers zullen doen) door:

    • in Chrome te surfen naar chrome://flags en je activeert de optie 'SameSite by default cookies'
      • Start hierna je browser opnieuw op!
    • in Firefox te surfen naar about:config en je wijzigt de parameter network.cookie.sameSite.laxByDefault naar 'true'
      • Start hierna je browser opnieuw op!

    Vergeet na het testen de browserinstellingen niet terug te zetten!

    Meer informatie over de verstrenging van het cookiebeleid, vind je hier terug: https://web.dev/samesite-cookie-recipes/#handling-incompatible-clients

    Werkt je toepassing niet meer correct na het testen, dan is de kans zeer groot dat er aanpassingen aan de cookies van jouw toepassing noodzakelijk zijn: mogelijk dien je dan de cookies van de toepassing op SameSite=None te zetten en ervoor te zorgen dat de 'Secure' vlag aan staat.

    Contacteer ons

    Heb je vragen over je integratie met het Toegangsbeheer, contacteer ons dan via integraties.gebruikersbeheer@vlaanderen.be

    Heb je een vraag over de bovenstaande communicatie, contacteer ons dan via toegangsbeheer@vlaanderen.be