Prepare-se para a descontinuação dos cookies de terceiros

Este guia ajuda a entender o impacto e as mudanças necessárias no seu complemento com o encerramento do suporte do Chrome a cookies de terceiros.

Visão geral

Em 4 de janeiro de 2024, o Chrome lançou a Proteção antirrastreamento, que restringe o acesso do site a cookies de terceiros por padrão a 1% dos usuários. No início de 2025, o Chrome vai desativar completamente os cookies de terceiros.

Pelo menos duas jornadas dos usuários são afetadas nos complementos do Google Sala de Aula:

  1. Fluxo de logon único (SSO) do Google
  2. Como abrir novas guias para os usuários

SSO do Google

Durante o fluxo de SSO do Google, os usuários são direcionados a uma caixa de diálogo para fazer login na Conta do Google e consentir com o compartilhamento de dados.

Visualização dos três contextos de cookie diferentes durante o SSO em um
iframe

Figura 1. Visualização dos três contextos de cookie diferentes durante o SSO em um iframe: (1) o app do Classroom de nível superior, (2) o iframe incorporado de terceiros (DavidPuzzle no localhost, neste caso) e (3) a caixa de diálogo OAuth de nível superior.

Em uma implementação típica de complemento, um cookie de sessão é definido após a conclusão do processo de login. O iframe do complemento, que está em um contexto incorporado, é recarregado, agora com o cookie de sessão, permitindo que o usuário acesse a sessão autenticada. No entanto, quando os cookies de terceiros são desativados, os sites em um contexto incorporado, como iframes de complemento, não podem acessar cookies dos respectivos contextos de nível superior. Para complementos do Google Sala de Aula, o usuário não consegue acessar a sessão autenticada e fica preso em um loop de login.

Para implementações que definem o cookie de sessão no contexto do iframe incorporado, esse problema pode ser mitigado pela API CHIPS, que permite que sites incorporados definam e acessem cookies particionados (cookies com chave no incorporador e no domínio incorporado). No entanto, as implementações que definem o cookie de sessão no contexto de nível superior da caixa de diálogo de login não conseguem acessar o cookie não particionado no iframe, impedindo o login.

Novas guias

Por motivos semelhantes, se um usuário tiver uma sessão autenticada baseada em cookies em um iframe complementar e o iframe abrir o usuário em uma nova guia de nível superior para uma atividade, a guia de nível superior não poderá acessar o cookie de sessão particionado do iframe. Isso impede que o estado da sessão do iframe persista na atividade da nova guia e pode forçar o usuário a fazer login novamente na nova guia, por exemplo. A API CHIPS não pode resolver esse problema por design. Os cookies de iframe particionados são inacessíveis em um contexto de nível superior.

Ações do desenvolvedor

Há algumas ações que você precisa considerar para garantir que o complemento continue funcionando conforme o esperado enquanto o Chrome desativa os cookies de terceiros.

  1. Audite o uso de cookies de terceiros nas jornadas ideais do usuário do seu complemento. Mais especificamente, teste com cookies de terceiros desativados para avaliar o impacto da sua implementação específica.
  2. Conheça a API Storage Access. Para todas as implementações de complementos, recomendamos que você use a API Storage Access (SAA). O SAA permite que os iframes acendam os cookies fora do contexto do iframe. A SAA está disponível no Chrome atualmente e é compatível com o app Sala de Aula.

  3. Ative o FedCM. Além disso, se você usar a GIS, a biblioteca do recurso "Fazer login com o Google", a orientação oficial da equipe de identidade é ativar o FedCM. Isso não substitui os recursos de cookies de terceiros, mas será necessário no GIS como parte da descontinuação dos cookies de terceiros. O FedCM está disponível no Chrome e é compatível com o Google Sala de Aula, mas o comportamento e os recursos ainda estão em desenvolvimento e abertos para feedback.

  4. Migrar para o SIG. Se você usa a biblioteca GSIv2 descontinuada, também conhecida como biblioteca de login do Google, é altamente recomendável migrar para o GIS, já que o suporte para o GSIv2 não está claro.

  5. Solicitar um atraso no teste de descontinuação. O Chrome está oferecendo um teste de descontinuação para permitir que casos de uso que não sejam de publicidade atrasem os efeitos da descontinuação de cookies de terceiros. Se for aceito, você vai receber um token que pode ser usado no seu complemento para manter os cookies de terceiros ativados para sua origem até 2024, enquanto migra para uma solução de longo prazo, como o SAA. Depois de se inscrever, você vai precisar informar um ID de bug ou um link para um relatório de falha. Nossa equipe já registrou isso para os complementos do Google Sala de Aula, e você pode informar este bug.