追記 10190510
関連して、このような動きもあります。
Cookie の SameSite=Lax をデフォルトにする提案仕様 - ASnoKaze blog
Cookieの仕様と拡張仕様
HTTPのCookieの仕様は RFC 6265 - HTTP State Management Mechanism で定義されております。
2015年頃より、IETFのHTTPbisワーキンググループではCookieのセキュリティを向上させる目的で拡張仕様が3つほど議論されていました。
- Cookie Prefixes
- 付与する属性をCookie名に含めることで、変更できなくする(Chrome51, Firefox50)
- Same-Site Cookies
- Deprecate modification of 'secure' cookies from non-secure origins
動作確認用のページもあるようです http://rfc6265.biz/tests/
IETF98でのフィードバック
それぞれの拡張仕様はChromeとFirefoxで実装が進められており、先月シカゴで行われたIETF98では各拡張仕様の提案者でもあるGoogleのMike West氏よりそれぞれの使用状況についてのフィードバックがありました。短いですが議事録より確認できます。
rfc6265bis
上記3つの拡張仕様はそれぞれを標準化するのではなく、RFC 6265の改訂版である6265bisに組み込む形で標準化されることがMLで話されておりましたが(URL)、4/25に rfc6265bisのdraft01 が提出されました。
RFC 6265からの主な変更点は下記のとおりです
- エラッタの修正(URL)
- Cookie2とSet-Cookie2をIANA Considerationsから削除
- Cookie Prefixes の仕様の取り込み
- Deprecate modification of 'secure' cookies from non-secure origins の仕様取り込み
Same-site cookiesについては、AuthorがML上で言及しているとおり(URL)、もう少し作業があるようだが、7月に行われるIETF98までに議論すべきものが出て来る形になりそうだ。