Microsoft voegt ondersteuning bidirectionele cookies toe aan IE-modus in Edge

Microsoft heeft ondersteuning toegevoegd voor bidirectionele cookies aan de Internet Explorer-modus van de Edge-browser. Hierdoor kunnen legacywebsites data overbrengen naar moderne websites en andersom. Dit moet bedrijven met legacywebsites helpen om ze langer te gebruiken.

In een blogpost vertelt een medewerker van Microsoft dat het voorheen enkel mogelijk was om vanuit moderne websites, via cookies, data te versturen naar legacy websites maar niet andersom. Legacy websites zijn websites die ondersteund worden door oudere browserengines, zoals die van Internet Explorer. Volgens de man zijn cookies die data in beide richtingen kunnen versturen belangrijk zodra een organisatie werkt met een mix van moderne en legacywebsites.

Op 15 juni 2022 stopt Microsoft met de ondersteuning van Internet Explorer 11 op verschillende versies van Windows 10. Mede omdat heel wat bedrijven interne websites gebruiken die enkel worden ondersteund door Internet Explorer, heeft het bedrijf een IE-modus toegevoegd aan de Edge-browser. Die modus zal tot en met 2029 ondersteund worden in de Edge-browser.

Internet Explorer werd in 1995 uitgebracht door Microsoft, en was jarenlang 's werelds meest populaire webbrowser. Twintig jaar na de release van IE bracht Microsoft zijn Edge-browser uit, als vervanging van Internet Explorer.

Internet Explorer-roadmap
Internet Explorer-roadmap

Door Jay Stout

Redacteur

30-03-2022 • 19:24

28

Reacties (28)

28
26
20
2
0
4
Wijzig sortering
Als security consultant werk ik dagelijks met websites. Daar komen natuurlijk ook dingen bij kijken zoals of de sessie cookie wel veilig is qua lengte en secure flag, dus voor mij zou dit gesneden koek moeten zijn.

Wtf is een bidirectionele cookie? Dat de client op de server een cookie instelt of wat? Slaat nergens op, breekt het hele client-server-model van HTTP. Het artikel noemt enkel dat het mogelijk zou moeten zijn om "vanuit moderne websites, via cookies, data te versturen naar legacy websites maar niet andersom". Gaat het hier om third-party cookies die vroeger minder vaak geblockt werden of hoe? Of gaat 't om het nieuwere SameSite attribuut? Het moet iets legacy zijn dus ik zou het al lang moeten kennen.

Misschien dat iemand de Microsoft-terminologie (edit: blijkt Tweakers-terminologie) wel kent en het snapt maar ik heb geen idee waar dit artikel over gaat.

Edit: bronartikel gelezen. Het gaat om cookies synchroniseren tussen twee Microsoft browsers, of één browser met twee modi of zoiets onzinnigs wat niemand hier gebruikt. Letterlijk de headline was duidelijker dan dit hele artikel.
Shared cookies between IE mode and Microsoft Edge sessions

[Reactie gewijzigd door Lucb1e op 25 juli 2024 00:10]

Microsoft noemt het zelf bidirectional cookie sharing. Dat je het onzinnig kan noemen is een kwestie van de waarde die je er aan hecht. Daarbij heeft het een belangrijk onderliggend probleem in verband met beveiliging.

Microsoft is twee browsers gaan samenvoegen, maar dat is gewoonlijk niet de bedoeling. Het is zelfs goed gebruik dat browsers gescheiden zijn en dus niet zomaar bij elkaars sessie-gegevens te kunnen. Die beveiliging is er niet zomaar, juist omdat de ene browser niet zomaar net zo te vertrouwen is als de andere. Zeker als een van de browsers volgens de maker legacy is. Maar dat stelde Microsoft wel voor het probleem dat gebruikers niet zomaar stoppen de legacy browser te blijven gebruiken. Het leek Microsoft kennelijk toen een goed idee om het goede gebruik te negeren en Edge toe te staan toch gebruik te maken van de cookie-gegevens van de legacy browser. Alleen leek dat gebruikers niet te bevallen (lees het bedanken van de gebruikers in de blog). En in plaats van te kiezen voor de gebruikelijke scheiding, kiest Microsoft er nu voor dat de legacy browser nu ook maar gebruik mag maken van de cookies van Edge.
Als je vandaag de dag nog steeds continu gebruik maakt van IE dan is dit echt je laatste zorg. Dit is een functie die een thuisgebruiker niet zo snel zal gebruiken of tegenkomen.

Het is bedacht voor zakelijke domeinen waar meerdere applicaties op draaien, meestal zitten ze daarom ook achter een VPN. Het komt nog maar al te vaak voor dat een bedrijf een applicatie heeft die moeilijk te vervangen is en nog goed werkt. Er zijn nog genoeg applicaties uit begin 21ste eeuw die hevig in gebruik zijn.

Als je als thuisgebruiker een dergelijke applicaties nodig hebt of als admin een dergelijke applicatie open en bloot hebt draaien dan ben je echt fout bezig.

Microsoft is niet twee browsers gaan samenvoegen, maar juist een browser gaan uitfaseren. Als je dan te maken hebt met een hoop legacy aan de gebruiker kant dan wordt het uitfaseren een lastig verhaal, zeker als die gebruiker een miljarden bedrijf is die makkelijk een miljoentje kan missen om continuïteit van zijn processen te garanderen. Dit soort functies maken het juist makkelijker voor de eindgebruiker.

[Reactie gewijzigd door TechSupreme op 25 juli 2024 00:10]

Het klinkt me niet redelijk om er alleen maar vanuit te gaan dat gebruikers die de legacy nodig hebben allemaal maar de beste beveiliging hebben. Daar is de gebruikelijke scheiding van gegevens dus juist relevant voor. Dat het makkelijker is kan dus niet zomaar belangrijker zijn.
Wie zn probleem is dat dan? Van de gebruiker lijkt mij.
Of .. ze hebben in de msie engine de netwerklaag verwijderd en gebruiken die van Edge. Waardoor msie steeds meer een virtualisatie op Edge (chromium) wordt, met steeds minder aparte functies t.o.v. Edge, dus steeds minder kans op oude CVE's.
Microsoft noemt het zelf bidirectional cookie sharing. Dat je het onzinnig kan noemen is een kwestie van de waarde die je er aan hecht. Daarbij heeft het een belangrijk onderliggend probleem in verband met beveiliging.
Maar bidirectional cookie sharing kun je taalkundig op twee manieren lezen hè:
- het sharen van bidirectional cookies
- het bidirectional sharen van cookies
Uit de context moet je dan opmaken wat er bedoeld wordt, en dáár is de redactie van Tweakers dus de mist in gegaan.
Misschien dat iemand de Microsoft-terminologie (edit: blijkt Tweakers-terminologie) wel kent en het snapt maar ik heb geen idee waar dit artikel over gaat.
[…]
Edit: bronartikel gelezen. Het gaat om cookies synchroniseren tussen twee Microsoft browsers, of één browser met twee modi of zoiets onzinnigs wat niemand hier gebruikt. Letterlijk de headline was duidelijker dan dit hele artikel.
De blogpost uit het artikel. 3e alinea:
Two of the key enhancements we’ve made to IE mode—restoring IE COM object calls and implementing bidirectional cookie sharing—have been in direct response to customer feedback.
Dat is dus *wel* een Microsoft dingetje wat Tweakers over heeft genomen.
[...]


De blogpost uit het artikel. 3e alinea:

[...]


Dat is dus *wel* een Microsoft dingetje wat Tweakers over heeft genomen.
Nope, het microsoft dingetje is 'bidirectional sharing' van 'gewone' cookies. 'Edge <=> IE'. Het Tweakers sausje is het verkeerd lezen van die tekst en daardoor het cookie bidirectioneel noemen.
Dat is dus *wel* een Microsoft dingetje wat Tweakers over heeft genomen.
Ja het is ook een dingetje bedacht door Microsoft omdat zij de enige op de markt zijn met 2 browsers. Dus mogen zij er ook een eigen naam voor bedenken.

https://docs.microsoft.co...-add-guidance-cookieshare
Ik vermoed dat ze cookie sharing bedoelen: https://docs.microsoft.co...-add-guidance-cookieshare

Maar het artikel maakt het niet makkelijk..
De volledige naam is "Bidirectional Cookie Sharing", en is een onderdeel van Cookie Sharing. Het bidirectionele gedeelte is bedoeld om ook sessie cookies te kunnen delen tussen browsers.

Met het bidirectionele gedeelte kan je dus een pagina openen in IE 11 en een andere pagina open in Edge en dan de sessie tussen beide delen. Dus bijv. als je met IE 11 inlogt dan hoef je dat niet nog eens te doen met Edge.

Gewoon een handigheid bedacht om de transitie van IE naar Edge makkelijker te maken voor de eindgebruiker.
Als security consultant werk ik dagelijks met websites. Daar komen natuurlijk ook dingen bij kijken zoals of de sessie cookie wel veilig is qua lengte en secure flag, dus voor mij zou dit gesneden koek moeten zijn.

Wtf is een bidirectionele cookie?
Dan hoop ik dat je ook het SameParty attribuut kent en daar een mening over hebt, wellicht zelfs filters voor hebt ingericht :)

Maar in het Microsoft geval lijkt het me meer te gaan om sandboxing, waar een cookie op domein X gezet door de server terwijl de gebruiker in MSIE mode zat, die niet benaderbaar was door websites op hetzelfde domein op het moment dat je in Edge mode zat (zoals cookies gezet in incognito mode). De sandbox is dus iets meer open gezet, de zandkoekjes stromen nu ook van de MSIE laag naar de Edge laag.

[Reactie gewijzigd door djwice op 25 juli 2024 00:10]

Het probleem is dat niet de cookies bi-directioneel zijn, maar het sharen bi-directioneel is.
Dit wordt goed door Microsoft zo aangegeven (bi-directoinal cookie sharing) echter is dit vertaald alsof the cookies bi-directional zouden zijn, wat inderdaad nergens op slaat.
Bedankt. Ik dacht even dat het aan mij lag. Ik volg al 25 jaar w3 standaarden maar ‘legacywebsites data transfereren naar moderne websites’ had ik nog niet eerder voorbij zien komen.
"Bidirectional cookies" bestaan niet.
Het Engelstalige artikel gaat over het (bidirectioneel) uitwisselen van cookies tussen IE en Edge.
Als ik het goed begrijp dan heeft MS voor hun nieuwste browser een patch uitgebracht zodat bedrijven die de afgelopen 6 jaar te lui / onkundig / beroerd (doorhalen wat niet van toepassing is) om hun website aan te passen aan de huidige stand van de techniek toch nog kunnen communiceren met een browser-engine van 20 jaar oud.

Volgens mij zou deze patch niet nodig moeten zijn maar zouden de bedrijven over moeten schakelen naar nieuwere technieken.
Dat de Microsoft "CA Web Enrollment role service pages" alleen in IE werken vanwege ActiveX wat in Edge niet meer ondersteund wordt is ook wel jammer. Natuurlijk kan je ook in Powershell certificaten genereren van je eigen CA, maar dat gebruikersvriendelijk maken en uitpluizen was toch mooi een halve dag werk.
Is Microsoft nu ook onkundig/lui/beroerd?
Wikipedia: Microsoft introduced ActiveX in 1996. ActiveX is a deprecated software framework.

Lijkt me dat je ActiveX niet meer moet willen gebruiken.
Eens, maar als ActiveX zit in een product van Microsoft dat verrekte handig is in een corporate-network; wie gaat dat dan oplossen? Niemand blijkbaar :X
maar dat gebruikersvriendelijk maken en uitpluizen was toch mooi een halve dag werk.
Is Microsoft nu ook onkundig/lui/beroerd?
Denk dat jij ook niet helemaal kundig is. Max half uurtje werk.
De redactionele kant van Tweakers holt achteruit. /
Najah, hij heeft het vast van een andere website gehaald. Even google op "bidirectional cookie" levert bv. op: https://m365admin.handson...okie-sharing-for-ie-mode/

Het blijft een volslagen wazige én onjuiste term. Een site als Tweakers zou daar niet in mee moeten gaan of er op zijn minst een kanttekening bij moeten plaatsen.
Nee, een volslagen juiste term (bidirectional sharing) die verkeerd gelezen wordt omdat er cookie tussenin staat.

[Reactie gewijzigd door aikebah op 25 juli 2024 00:10]

Ik gebruikte voorheen meestal Mozilla Seamonkey toen de Google Chrome browser er nog niet was.
Ik had voorheen meerdere browsers naast IE en Seamonkey geinstalleerd vanwege dat ik websites moest uittesten.
dan zet je een hele hoop legacy apps bij bedrijven stil. ik ben het met je eens dat die applicaties niet meer nodig zouden moeten zijn, maar het gaat hier niet alleen maar om websites maar om interne webapps die gebruikmaken van bepaalde functies die microsoft nog niet heeft kunnen/willen updaten

Op dit item kan niet meer gereageerd worden.