Bakgrund kring Chromes uppdatering kopplat till HTTPS krav

Bakgrund

Den 4:e februari (preliminärt) kommer webbläsaren Chrome att släppas i en ny version med ett par förändringar som kommer påverka hur inloggning i IdrottOnline fungerar. Förändringen rör något som kallas ”SameSite” och en utförlig beskrivning finns att läsa här (engelska): https://web.dev/samesite-cookies-explained/  

Även Mozilla (Firefox) och Microsoft (Internet Explorer och Edge) har meddelat att de jobbar med liknande uppdateringar. 

 

Påverkan och konsekvenser i IdrottOnline 

De ändringar som Chrome släpper i februari förändrar beteendet för hur cookies får läsas (och inte läsas) av sidor som har olika domännamn. För de som har en egen domän kopplad till sin IdrottOnline-site innebär det att cookies från inloggningen, som alltid sker på login.idrottonline.se, inte längre kan läsas då användaren återvänder till den egna domänen efter en inloggning.  

 

För föreningar som inte har en egen domän kopplad så ligger sidan på www.idrottonline.se med en adress i stil med idrottonline.se/Klubben och alla cookies hanteras då under domännamnet idrottonline.se. Dessa sidor påverkas ej.  

 

För föreningar med en egen domän har anpassningar gjorts för att hantera denna förändring men en förutsättning är att all trafik hanteras över HTTPS.

Det innebär att egen domän + https kommer fungera med inloggning på samma sätt som tidigare. 

 

För egen domän utan https aktiverat uppfylls inte de krav på säkerhet Chrome valt att ställa för att tillåta att cookies får läsas från olika domännamn. Det innebär att inloggningen från en egen domän kommer att påverkas.  

De som har en egen domän rekommenderas att aktivera HTTPS, vilket kan göras med ett kostnadsfritt certifikat från Let’s Encrypt. Ett eget certifikat från annan leverantör går också att använda.  

Läs instruktioner hur certifikat läggs till i IdrottOnline här: 

 

De användare som försöker logga in via en sida med egen domän utan HTTPS kommer att hänvisas till en sida med information och möjlighet att logga in för att nå vissa kritiska administrativa funktioner.  

Observera att inloggning inte kommer vara möjligt med egen domän och utan HTTPS oavsett webbläsare (gäller således inte bara Chrome). 

 

Åtgärder 

Vi har gjort anpassningar i IdrottOnline som hanterar de flesta scenarion, men det finns saker användare kan göra för att komma runt eventuella besvär: 

  • Se till att HTTPS är aktiverat på siter med egen domän (huvudadministratör). 
  • Uppgradera OS eller webbläsarversion ifall din nuvarande version inte är kompatibel med de förändringar som gjort i IdrottOnline. Kända versioner som inte fungerar är macOS 10.14 (Mojave) och iOS 12.x.  

Hjälpte det här svaret? Ja Nej

Send feedback
Synd att vi inte kunde vara till hjälp. Hjälp oss förbättra denna artikel med din feedback.