Pliki cookie innych firm mają wiele zastosowań, ale są też kluczowym elementem umożliwiającym śledzenie między witrynami.
Chrome proponuje nowe rozwiązanie, które daje użytkownikom możliwość wyboru w przypadku plików cookie innych firm. Musisz przygotować swoją witrynę na potrzeby użytkowników, którzy zdecydują się na przeglądanie bez plików cookie innych firm.
Na tej stronie znajdziesz informacje o rozwiązaniach zapewniających ochronę prywatności w ramach scenariuszy osadzania, które tradycyjnie korzystały z plików cookie innych firm, oraz strategie, które pomogą Ci wybrać rozwiązanie najlepiej dopasowane do Twoich potrzeb.
Usługi umieszczone lub wbudowane obejmują treści innych firm (np. filmy, mapy), komponenty interaktywne (np. czat, systemy komentarzy lub usługi płatnicze) oraz usługi logowania.
Większość pracy związanej z przejściem z plików cookie innych firm musi zostać wykonana przez deweloperów, a nie przez witryny, które hostują treści embedowane. W tym przewodniku omówimy głównie rozwiązania dla deweloperów, którzy tworzą usługi wbudowane.
Jeśli Twoja witryna korzysta z elementów embedowanych, które używają plików cookie innych firm, sprawdź i przetestuj ścieżki związane z elementami embedowanymi. Jeśli wykryjesz jakieś problemy, skontaktuj się z dostawcami tych elementów.
Sprawdzanie i testowanie ścieżek użytkowników związanych z osadzonymi treściami
Najlepszym sposobem na sprawdzenie, czy pliki cookie innych firm wpływają na Twoje treści, jest przetestowanie ścieżek użytkowników dla treści embedowanych innych firm z włączoną flagą testowania plików cookie innych firm.
Po ograniczeniu plików cookie innych firm przetestuj te typowe scenariusze osadzenia:
- Widżety czatu: czy możesz rozpocząć sesję czatu? Czy możesz odświeżyć stronę bez utraty sesji? Czy możesz przejść na inne strony i utrzymać sesję?
- Umieszczone treści: czy możesz wyświetlić film lub inne umieszczone treści? Czy zachowane są preferencje użytkownika, takie jak język czy napisy? Czy reklamy wyświetlają się zgodnie z oczekiwaniami, np. nie widzisz ich jako subskrybent premium?
- Logowanie: czy logowania (w tym logowania jednokrotne) działają w przypadku elementów osadzonego, które je obsługują? Czy są one zachowane po ponownym wczytaniu stron i przechodzeniu na strony, które używają tych samych elementów?
- Widgety do komentowania: czy możesz dodawać komentarze, klikać „Podoba mi się” i głosować na komentarze?
- Zintegrowane rozwiązania do obsługi płatności: czy możesz zrealizować płatności?
W następnych sekcjach znajdziesz szczegółowe informacje o tym, jak te procesy mogą zostać dotknięte.
Typowe zastosowania
Do umieszczania treści, które tradycyjnie korzystały z plików cookie innych firm, można używać wielu interfejsów API. W tabeli poniżej znajdziesz listę typowych przepływów pracy i zalecane interfejsy API, których możesz używać. W następnych sekcjach wyjaśnimy, dlaczego te rekomendacje zostały wyświetlone.
| Przypadek użycia | Zalecane interfejsy API do korzystania z plików cookie innych firm |
|---|---|
| Widżet czatu | CHIPS |
| Wstawianie map | CHIPS |
| Domeny piaskownicy dla zaufanych treści użytkowników (takich jak googleusercontent.com i githubusercontent.com), które wymagają ograniczonego stanu na podstawie wydawcy |
CHIPS |
| Wstawione reklamy, które wymagają stanu określonego dla każdego wydawcy | CHIPS |
| Logowanie się za pomocą dostawcy tożsamości | FedCM |
| umieszczanie w ramach aplikacji zewnętrznych treści hostowanych w różnych, ale powiązanych ze sobą źródłach; | Storage Access API z powiązanymi zestawami witryn |
| treści wbudowane z uwzględnieniem preferencji logowania (np. treści wideo bez reklam lub preferencje dotyczące języka/napisów); |
Storage Access API |
| Widget do komentowania w mediach społecznościowych wymagający logowania | Storage Access API |
Wybieranie interfejsu API do użycia w ramach wbudowanych zastosowań zewnętrznych
Z tej sekcji dowiesz się, jak wybrać odpowiedni interfejs API i co to są zalecane interfejsy API.
Poniższy schemat pomoże Ci wybrać jedną z dostępnych opcji:
Schemat przepływu danych zawiera 3 główne pytania, które omówimy bardziej szczegółowo, a także wyjaśnimy, dlaczego w każdym przypadku zalecamy dany interfejs API.
1. Czy pliki cookie są powiązane z witryną, w której znajdują się treści?
Wiele elementów embedowanych pochodzących od innych firm jest używanych niezależnie w zupełnie niepowiązanych witrynach. Na przykład widżety czatu do obsługi klienta często wymagają plików cookie, ale nie trzeba udostępniać tych plików cookie dwóm zupełnie różnym organizacjom, które korzystają z tego samego rozwiązania dotyczącego widżetu czatu. W wielu przypadkach lepiej jest nie zezwalać na udostępnianie plików cookie.
Jeśli udostępniasz innym witrynom usługę osadzenia, która korzysta z plików cookie, zastanów się, czy te pliki cookie są specyficzne dla usługi w witrynie, w której są osadzone. Czy są one udostępniane przez osoby, które mają dostęp do Twoich treści w innych witrynach?
Jeśli pliki cookie nie muszą być udostępniane, najłatwiej jest podzielić je za pomocą CHIPS. Ten interfejs API łączy pliki cookie innych firm z witryną najwyższego poziomu, zamiast zezwalać na ich udostępnianie wszystkim witrynom, które korzystają z tego samego wbudowanego elementu pochodzącego od zewnętrznego dostawcy. CHIPS jest łatwy do wdrożenia, ponieważ wymaga tylko dodania dodatkowego atrybutu Partitioned do dotychczasowych plików cookie. Dzięki temu wbudowane usługi nadal mogą zapisywać stan, ale usuwamy współdzieloną pamięć masową w wielu witrynach, która umożliwia śledzenie w wielu witrynach.
Witryny powinny też sprawdzać, czy pliki cookie są używane z odpowiednich powodów. Plików cookie należy używać tylko wtedy, gdy są one ustawione lub muszą być wysyłane z żądaniami HTTP. Jeśli tak nie jest i pliki cookie są używane tylko jako wygodna opcja przechowywania, warto rozważyć użycie różnych interfejsów API do przechowywania. Dzięki temu dane pozostają na urządzeniu, gdy nie trzeba ich wysyłać. Interfejsy API pamięci są już podzielone na partycje we wszystkich głównych przeglądarkach w sposób podobny do tego, w jaki CHIPS dzieli na partycje pliki cookie.
2. Czy pliki cookie należą do zewnętrznego dostawcy tożsamości?
Jednym z częstych zastosowań plików cookie innych firm w ramach funkcji wbudowanych jest udostępnianie funkcji logowania zarządzanych przez zewnętrznego dostawcę logowania, np. Zaloguj się przez Google. W tym przypadku pliki cookie z partycjami nie są dostępne.
Zarządzanie uwierzytelnieniami federacyjnymi (FedCM) to interfejs API przeznaczony do tego zastosowania, który działa bez plików cookie innych firm. Jeśli dostawca tożsamości obsługuje FedCM, może to wyeliminować potrzebę korzystania z plików cookie innych firm.
Więcej informacji o tym, jak rozwiązać problemy związane z plikami cookie innych firm w procesie logowania, znajdziesz w przewodniku dotyczącym tożsamości.
3. Czy pliki cookie są używane w niewielkiej liczbie powiązanych witryn?
Jeśli żaden z poprzednich sposobów nie zastępuje plików cookie, musisz ponownie włączyć dostęp do plików cookie innych firm dla kodu embedowanego. Można to włączyć w przypadku określonych, kontrolowanych przypadków użycia za pomocą interfejsu Storage Access API. Ten interfejs API ponownie włącza pełny dostęp do plików cookie innych firm (z zastosowaniem ograniczeń), więc jest to najbardziej zaawansowana opcja. Dlatego zalecamy unikanie tej opcji, jeśli wystarczająca jest bardziej restrykcyjna alternatywa.
Aby korzystać z interfejsu Storage Access API, musisz spełnić kilka wymagań:
- Użytkownik musi wcześniej otworzyć witrynę, w której znajduje się element do osadzenia, na najwyższym poziomie. Jeśli na przykład umieszczasz system komentowania, użytkownik musi też odwiedzić witrynę tego systemu.
- Zanim pliki cookie będą mogły być udostępniane, użytkownik musi wejść w interakcję z elementem wbudowanym. Oznacza to, że przed interakcją użytkownika może nie być możliwe wczytanie wszystkich treści.
- Użytkownik może musieć zatwierdzić udostępnianie plików cookie za pomocą wyskakującego okienka w przeglądarce, zwłaszcza po raz pierwszy i okresowo w późniejszym czasie.
- Może być też konieczne ustawienie dodatkowych atrybutów piaskownicy.
Te ograniczenia zapewniają, że ponowne włączenie plików cookie innych firm odbywa się tylko wtedy, gdy użytkownik i witryna tego oczekują. W niektórych przypadkach jednak działania użytkownika mogą zostać pominięte. Jeśli na przykład użytkownik niedawno zatwierdził dostęp, może nie być konieczne ponowne wyświetlanie prośby przez pewien czas (zdefiniowany przez przeglądarkę).
W innym scenariuszu użytkownik może oczekiwać, że będzie mógł przejść do powiązanych witryn. Na przykład niektóre organizacje używają wielu różnych źródeł, które są traktowane przez przeglądarkę jako pochodzące z różnych witryn, więc używanie plików cookie w tych źródłach jest traktowane jako korzystanie z plików cookie innych firm. Przykłady obejmują marki z witrynami w konkretnych krajach (np. example.com i example.co.uk) lub witryny poszczególnych marek (np. example.car i example.house).
W takim przypadku, gdy jest niewiele powiązanych witryn, możesz użyć zestawów powiązanych witryn. Witryny są przesyłane do Chrome, aby Chrome wiedział, że są powiązane. Dzięki temu interfejs Storage Access API będzie bardziej przyjazny dla użytkownika i wyświetli mniej komunikatów.
W przypadku niezwiązanych stron internetowych, które są w istocie stronami firm zewnętrznych, i gdzie wymagany jest pełny dostęp do plików cookie innych firm, ponieważ alternatywne interfejsy API nie wystarczają, korzystanie z interfejsu Storage Access API będzie podlegać pełnym wymaganiom i wyświetlanym komunikatom.
Porównanie różnych interfejsów API
Każde z tych rozwiązań ma nieco inne właściwości i ograniczenia, które czynią je lepszym wyborem w przypadku określonych zastosowań. W tej tabeli zestawiliśmy główne różnice:
| CHIPS | Partycjonowane miejsce na dane | FedCM | Storage Access API z zestawami powiązanych witryn | Storage Access API | |
|---|---|---|---|---|---|
| Użytkownik nie musi wcześniej uzyskiwać dostępu do zaimplementowanej strony jako witryny najwyższego poziomu. | |||||
| Nie wymaga od użytkownika prośby o zatwierdzenie dostępu | |||||
| nie wymaga od użytkownika interakcji z zawartością, | (Może to być prawda w przypadku osadzonych witryn z dostępem na najwyższym poziomie). |
||||
| Wkład w wdrażanie | bardzo niski, | Niski | Wysoki | Średni | Średni |
| Może służyć do udostępniania plików cookie w wielu witrynach najwyższego poziomu lub źródłach. | (Proponowana zmiana jest w trakcie dyskusji) |
||||
| Dostępne w przeglądarkach innych niż Chrome | (Przechodzi do Storage Access API.) |
Obsługa przypadków użycia w różnych przeglądarkach
Zgodność z przeglądarkami jest jednym z głównych czynników, które należy wziąć pod uwagę przy wyborze rozwiązania, jak wspomniano w ostatnim wierszu tabeli. Niektóre interfejsy API (CHIPS, FedCM, powiązane zestawy stron internetowych) są dostępne tylko w przeglądarkach Chromium. Obecnie istnieją 2 rozwiązania działające w różnych przeglądarkach: interfejsy API partycjonowanego magazynu (gdy pliki cookie nie są wymagane) lub interfejs Storage Access API (gdy pliki cookie są wymagane).
Jak już wspomnieliśmy, interfejs Storage Access API ma pewne ograniczenia, które mogą wpływać na wygodę użytkowników witryny. Zespół Chrome pracował nad dodaniem innych interfejsów API, które są przeznaczone do określonych zastosowań i zapewniają działanie podobne do tego, które było możliwe dzięki plikom cookie innych firm. Dlatego warto rozważyć, które opcje są najlepsze, i traktować je jako stopniowe ulepszenia, a w przypadku przeglądarek, które ich nie obsługują, stosować interfejs Storage Access API.
Ponieważ pliki cookie mogą być blokowane z różnych powodów (np. ze względu na ustawienia przeglądarki lub rozszerzenia), wykrywanie obsługi interfejsu API może nie wystarczyć. Zamiast tego najlepiej sprawdzić, czy oczekiwane pliki cookie istnieją, a jeśli nie, użyć przepływu pracy interfejsu Storage Access API, aby poprosić o dostęp do plików cookie innych firm.
Podejmij działanie już teraz.
Jeśli wbudowany element zewnętrzny nie działa już bez plików cookie innych firm, możesz skorzystać z jednego z wielu rozwiązań, które opisujemy w tym wystąpieniu. Sprawdź, czy w Twojej usłudze nie występują pliki cookie innych firm. Czas na to jest!
Jeśli w Twoich treściach występują obecnie problemy, ponieważ Chrome testuje usuwanie plików cookie innych firm, możesz skorzystać z kilku opcji krótkoterminowych, które pomogą Ci przejść na rozwiązania opisane w tym poście. Więcej informacji znajdziesz w dokumentacji dotyczącej zachowywania kluczowych funkcji dla użytkowników.
Jeśli masz pytania dotyczące przypadków użycia funkcji osadzenia pochodzących od innych firm, których nie omówiliśmy w tym przewodniku, możesz przesłać nowe zgłoszenie, używając tagu „wycofanie obsługi plików cookie innych firm” w naszym repozytorium pomocy dla deweloperów.