Actualización de browsers me bloqueó una funcionalidad de una app

Zuljin · 9 Abril 2020

Muchachos, tengo un problemazo.

Tengo una aplicación que trabaja con frames. Esa aplicación es cerrada y no se puede tocar ni se puede actualizar. ES ASÍ.

La cosa es que esta aplicación abre frames y manda sesiones y cookies a otros sitios para abrir frames. Y funcionaba bastante bien durante 6 años, hasta ahora. Un frame no me muestra nada, se va por time out.

Cuando apretó el F12 en chrome para ver que pasa me sale este mensaje

Código:

core-ASPEN-4141.js:37 [Deprecation] Synchronous XMLHttpRequest on the main thread is deprecated because of its detrimental effects to the end user's experience. For more help, check https://xhr.spec.whatwg.org/.

AdfXMLRequest.send @ core-ASPEN-4141.js:37

worklist.jspx:1 A cookie associated with a cross-site resource at http://misitio2/ was set without the `SameSite` attribute. A future release of Chrome will only deliver cookies with cross-site requests if they are set with `SameSite=None` and `Secure`. You can review cookies in developer tools under Application>Storage>Cookies and see more details at https://www.chromestatus.com/feature/5088147346030592 and https://www.chromestatus.com/feature/5633521622188032.

worklist.jspx:1 Refused to display 'http://misitio2:7003/workflow/UIEvaluarCF004_rev2.5.7/faces/adf.task-flow?_task-flow-return=http%3A%2F%2Fwww.institucion.cl%3A80%2Fbpm%2Fworkspace%2Ffaces%2Fadf.task-flow-return%3F_afrPage%3Ds1&adf.tfDoc=%2FWEB-INF%2FHT_Evaluar_Viatico_TaskFlow.xml&adf.tfId=HT_Evaluar_Viatico_TaskFlow&bpmBrowserWindowStatus=taskFlowReturn&bpmWorklistContext=d540fea5-d3e7-4517-aabe-7286cf0a7682%3B%3BG%3B%3BUa%2FBBfF7iX1g1ICdVMmgGtDxKnjC2gQwwa2sgP%2Bw1Sil0%2Fxlb4h0Dd%2FesxL21W7kBsmSYBbAbfzEYHoXXMUpTpGGUe6XqoUjjISNJPGWztjurv087eGUcIvqdL%2F860QsbkRFQjYiMh3dsHKJVQzfcw%3D%3D&bpmWorklistHome=home.jspx&bpmWorklistHttpURL=http%3A%2F%2Fwww.institucion.cl%3A80%2Fbpm%2Fworkspace%2Ffaces&bpmWorklistReassign=reassignTask.jspx&bpmWorklistRequestInfo=requestInfo.jspx&bpmWorklistRoute=routeTask.jspx&bpmWorklistSecurity=signTask.jspx&bpmWorklistSessionTimeoutInterval=7200&bpmWorklistTaskId=7f673891-2a93-40c0-8831-924ba4da9f79&cy=ES&df=medium&dispNameCy=ES&dispNameLg=es&dispNameVr=&dt=both&enableNavigationButton=true&lg=es&sf=skyros&soaUrl=https%3A%2F%2FMiSitio1%3A7504&tf=short&tz=America%2FSantiago&vr=&_afrRedirect=17678954430079&_afrPage=s2' in a frame because it set 'X-Frame-Options' to 'sameorigin'.

Como esto es una plataforma weblogic, fui al soporte weblogic de oracle y dice

Código:

Introduction to the SameSite Cookie Issue 
The Google Chrome 80 release, scheduled for February 2020, changes the default cross-domain (SameSite) behavior of cookies to enhance security and privacy. Mozilla and Microsoft have also indicated an intent to implement the new model in Firefox and Edge in the future.

This Chrome Platform Status explains the intent of the SameSite attribute:

“SameSite is a reasonably robust defense against some classes of cross-site request forgery (CSRF) attacks, but developers currently need to opt-into its protections by specifying a SameSite attribute. In other words, developers are vulnerable to CSRF attacks by default. This change would allow developers to be protected by default while allowing sites that require state in cross-site requests to opt-in to the status quo’s less-secure model. In addition, forcing sites to opt-in to SameSite=None gives the user agent the ability to provide users more transparency and control over tracking."

With Chrome 80 release in February, by default Chrome will treat cookies that have no declared SameSite value as SameSite=Lax. Up until Chrome 80, the default is SameSite=None. After the Chrome 80 release, developers can still opt into the status quo of unrestricted use by explicitly setting "SameSite=None; Secure" cookies that will be available for external access.

Other browser vendor plans:

[LIST]
[*]Mozilla has affirmed their support of the new cookie classification model with their intent to implement the "SameSite=None; Secure" requirements for cross-site cookies in Firefox.
[*]Microsoft recently announced plans to begin implementing the model starting as an experiment in Microsoft Edge 80.
[/LIST]
For more information, see this Chromium blog post.

Oracle recommends that application developers and application server administrators assess their situation to see if they will be impacted. Included in this document are some steps to consider.

Pregunta
¿Ustedes saben si hay alguna manera de decirle a los navegadores "nah, ese sitio es seguro. déjalo pasar no más con las coockies"? ¿O alguna otra cosa que puede ayudar?

Gracias

Miguelwill · 9 Abril 2020

si, tendrías que buscar la opción para desactivar el filtro de crossite cookies que ahí menciona

Enviado desde mi moto g(7) plus mediante Tapatalk

Zuljin · 9 Abril 2020

miguelwill dijo:
si, tendrías que buscar la opción para desactivar el filtro de crossite cookies que ahí menciona

Enviado desde mi moto g(7) plus mediante Tapatalk

Puta pillé la opción, la deshabilité e igual me sigue dando jugo.

Miguelwill · 9 Abril 2020

Zuljin dijo:
Puta pillé la opción, la deshabilité e igual me sigue dando jugo.

quizás es algo más
ahora los navegadores están súper quisquillosos con el tema de la seguridad y evitar la fuga de información a sitios externos no autorizados
revisa en la consola de desarrollador si te salen alertas o warninga

Enviado desde mi moto g(7) plus mediante Tapatalk

Zuljin · 13 Abril 2020

Puta la huea.

¿Alguna solución por software que me recomienden? ¿Un proxy de apache para forzar a poner el header en la cabecera?

Miguelwill · 13 Abril 2020

mira por acá
quizás te sirva para salir del paso

https://stackoverflow.com/questions/3102819/disable-same-origin-policy-in-chrome

Enviado desde mi moto g(7) plus mediante Tapatalk

javiernico · 13 Abril 2020

para salir del paso, y mientras encuantras la solucion final, podrias probar con una version antigua y portable de algun navegador

Zuljin · 13 Abril 2020

javiernico dijo:
para salir del paso, y mientras encuantras la solucion final, podrias probar con una version antigua y portable de algun navegador

Probé con un internet explorer y nada.

javiernico · 13 Abril 2020

Zuljin dijo:
Probé con un internet explorer y nada.

¿con la misma versión que te funcionaba antes?

Zuljin · 14 Abril 2020

javiernico dijo:
¿con la misma versión que te funcionaba antes?

De un día para otro me doy cuenta que falla con los tres navegadores. Entre la vorágine del teletrabajo por el coronavirus me reportaron el problema así que supongo baje en alguna de estás últimas 4 semanas ocurrió el cambio. No se si en los navegadores (Chrome, Mozilla y edge) o en nuestro proxy interno.

unreal4u · 14 Abril 2020

Oie pero aer... qué probaste y con qué versiones? En la documentación de Oracle sale clarito qué versiones puedes probar.

Edge ahora también está basado en Chromium así que si los cambios los hicieron en Chromium (altamente probable) y no en Chrome repoca diferencia habrá.

De lo contrario empezaría a revisar tu proxy interno.

Zuljin · 14 Abril 2020

unreal4u dijo:
Oie pero aer... qué probaste y con qué versiones? En la documentación de Oracle sale clarito qué versiones puedes probar.

Edge ahora también está basado en Chromium así que si los cambios los hicieron en Chromium (altamente probable) y no en Chrome repoca diferencia habrá.

De lo contrario empezaría a revisar tu proxy interno.

No me funciona con ni en Chrome, ni en Mozilla ni en Edge. Probé también con el iexplorer en su modo de compatibilidad y tampoco.

unreal4u · 14 Abril 2020

pero qué versiones probaste?

javiernico · 14 Abril 2020

Voy a suponer que es una institución súper organizada y deben tener algún "registro de control de cambios" para saber las versiones que tenian instaladas antes de que comenzara a fallar.

:zippygigante

Zuljin · 14 Abril 2020

unreal4u dijo:
pero qué versiones probaste?

Las últimas. Mozilla y Chrome se actualizan solas.

No he probado con versiones antiguas pero de todas maneras creo que el problema no va por desactualizar los navegadores. Por ahí me recomendaron un plugin de Mozilla que ignora los settings de x-frame.

https://addons.mozilla.org/es/firefox/addon/ignore-x-frame-options-header/

Zuljin · 14 Abril 2020

javiernico dijo:
Voy a suponer que es una institución súper organizada y deben tener algún "registro de control de cambios" para saber las versiones que tenian instaladas antes de que comenzara a fallar.

Estoy apuntando mis sospechas al proxy porque me llama la atención que de un momento a otro me den problema todos los navegadores.

unreal4u · 14 Abril 2020

Zuljin dijo:
Las últimas. Mozilla y Chrome se actualizan solas.

No he probado con versiones antiguas pero de todas maneras creo que el problema no va por desactualizar los navegadores. Por ahí me recomendaron un plugin de Mozilla que ignora los settings de x-frame.

https://addons.mozilla.org/es/firefox/addon/ignore-x-frame-options-header/

Te recomendaría probar con una versión vieja y no instalar plugins: los cambios que se hicieron son grandes y no son los únicos, además que los plugins no tienen acceso a todos los aspectos que controlan el navegador (ejemplo ver casos como Tree Style Tab que de la noche a la mañana se vieron totalmente restringidos con una simple actualización de firefox), especialmente los que tienen que ver con seguridad.

Por lo demás, afirmas que no hicieron cambios algunos en la configuración del proxy y además el error que te muestra es justamente lo que te sale cuando el navegador bloquea el request por ser considerado un ataque Cross-site.

Por eso, baja una versión antigua, confirma que puedes (ojalá no) reproducir el problema y soluciónalo paso a paso. Una vez que puedas reproducir el problema, también te será mucho más fácil solucionarlo.

Saludos.

Miguelwill · 14 Abril 2020

el sitio funciona con http o https ?

me pasó en un sitio de un proyecto de mailing (mailtrain) y si entraba por http la mierda no lograba loguear, pero usando https la caga cargo altiro
y cuando veía los avisos en la consola del navegador era este el que me saltaba alertas por seguridad, quizás algún recurso estaba por https y ahí daba jugo xD

Enviado desde mi moto g(7) plus mediante Tapatalk

Zuljin · 15 Abril 2020

Al final tuve que tocar una configuración culiada que se había desconfiguro en un reinicio. Nunca fueron los navegadores y el proxy, fue un parámetro que se chambreó.

Actualización de browsers me bloqueó una funcionalidad de una app

Zuljin

Fundador

Miguelwill

I am online

Zuljin

Fundador

Miguelwill

I am online

Zuljin

Fundador

Miguelwill

I am online

javiernico

cmos burner

Zuljin

Fundador

javiernico

cmos burner

Zuljin

Fundador

unreal4u

I solve problems.

Zuljin

Fundador

unreal4u

I solve problems.

javiernico

cmos burner

Zuljin

Fundador

Zuljin

Fundador

unreal4u

I solve problems.

Miguelwill

I am online

Zuljin

Fundador