Przygotowanie do wycofania plików cookie innych firm

Jeśli Twoja witryna używa plików cookie innych firm, najwyższy czas podjąć działania w miarę zbliżania się ich wycofania. Aby ułatwić testowanie, od 4 stycznia 2024 r. Chrome ograniczył używanie plików cookie innych firm w przypadku 1% użytkowników. Od III kwartału 2024 r. Chrome planuje zwiększyć zakres ograniczeń dotyczących plików cookie innych firm na wszystkich użytkowników, zgodnie z pozostałymi wątpliwościami dotyczącymi konkurencji, przedstawionymi przez brytyjski Urząd ds. Konkurencji i Rynków.

Celem Piaskownicy prywatności jest ograniczenie śledzenia w witrynach przy jednoczesnym umożliwieniu funkcji, dzięki którym treści i usługi online są bezpłatnie dostępne dla wszystkich. Wycofanie i usuwanie plików cookie innych firm jest tym wyzwaniem, ponieważ zapewnia kluczowe funkcje logowania, ochrony przed oszustwami, wyświetlania reklam i zwykle umożliwia umieszczanie w witrynach bogatych treści innych firm. Jednocześnie stanowią one również kluczowe elementy śledzenia w witrynach.

W poprzednim ważnym kamieniu milowym wprowadziliśmy szereg interfejsów API, które zapewniają skoncentrowaną na prywatności alternatywę dla dzisiejszego stanu quo na potrzeby takich zastosowań jak tożsamość, reklama i wykrywanie oszustw. Gdy mamy już alternatywne rozwiązania, możemy przejść do wycofywania plików cookie innych firm.

W tej serii filmów z serii „Cookie Countdown” pokażemy Ci, jak wygląda oś czasu i jak najszybciej możesz podjąć działania, aby mieć pewność, że Twoje witryny będą gotowe.

1% wycofanie plików cookie innych firm i testy przeprowadzane przy użyciu Chrome

Na osi czasu privacysandbox.com możesz zobaczyć 2 kamienie milowe z IV kwartału 2023 r. i I kwartału 2024 r. w ramach testów obsługiwanych przez Chrome. Te testy są przeznaczone głównie dla organizacji testujących trafność i interfejsy API Piaskownicy prywatności, ale w ramach tego procesu wyłączymy pliki cookie innych firm u 1% użytkowników wersji stabilnej Chrome.

Oznacza to, że od początku 2024 r. możesz spodziewać się wzrostu liczby użytkowników Chrome w swojej witrynie z wyłączonymi plikami cookie innych firm, nawet jeśli nie uczestniczysz aktywnie w testach przeprowadzanych przy użyciu Chrome. Okres testowy potrwa do III kwartału 2024 r., gdy po skonsultowaniu się z CMA i rozwiązaniu wszelkich wątpliwości związanych z konkurencją zaczniemy wyłączać pliki cookie innych firm u wszystkich użytkowników Chrome.

Aby umożliwić Ci przygotowanie witryny do działania bez plików cookie innych firm, podzieliliśmy ten proces na kluczowe etapy (szczegóły poniżej):

  1. Sprawdź korzystanie z plików cookie innych firm.
  2. Testy pod kątem awarii.
  3. W przypadku plików cookie używanych w różnych witrynach, które przechowują dane według poszczególnych witryn (np. osadzonych), rozważ stosowanie Partitioned z CHIPS.
  4. W przypadku plików cookie w różnych witrynach w małej grupie odpowiednio połączonych witryn możesz zastosować zestawy powiązanych witryn.
  5. Aby używać plików cookie innych firm w pozostałych przypadkach, przejdź do odpowiednich interfejsów API internetowych.

1. Kontrola wykorzystania plików cookie innych firm

Pliki cookie innych firm można rozpoznać po ich wartości SameSite=None. Poszukaj w kodzie instancji, w których atrybut SameSite ma tę wartość. Jeśli w okolicach 2020 roku wprowadzisz zmiany w celu dodania pliku SameSite=None do plików cookie, może to być dobry punkt wyjścia.

Narzędzia deweloperskie w Chrome

Panel Sieć w Narzędziach deweloperskich w Chrome pokazuje pliki cookie ustawiane i wysyłane w odpowiedzi na żądania. W panelu Aplikacje w sekcji Pamięć jest widoczny nagłówek Pliki cookie. Można przeglądać zapisane pliki cookie każdej witryny, do której uzyskano dostęp podczas jej wczytywania. Możesz posortować dane według kolumny SameSite, aby zgrupować wszystkie pliki cookie None.

Karta Problemy z Narzędziami deweloperskimi z ostrzeżeniem dotyczącym plików cookie SameSite=None.

Od wersji Chrome 118 karta Problemy w Narzędziach deweloperskich pokazuje problem związany ze zmianą powodującą niezgodność: „Pliki cookie wysyłane w kontekście innej witryny będą blokowane w przyszłych wersjach Chrome”. Komunikat o problemie zawiera listę plików cookie bieżącej strony, których mógł dotyczyć ten problem.

Privacy Sandbox Analysis Tool (PSAT)

Utworzyliśmy też Privacy Sandbox Analysis Tool (PSAT), rozszerzenie do Narzędzi deweloperskich, które ułatwia analizę wykorzystania plików cookie podczas sesji przeglądania. Znajdziesz tu ścieżki debugowania plików cookie i funkcji Piaskownicy prywatności, z punktami dostępu do dodatkowych informacji o inicjatywie Piaskownica prywatności.

Karta Problemy z Narzędziami deweloperskimi z ostrzeżeniem dotyczącym plików cookie SameSite=None.

To rozszerzenie uzupełnia Narzędzia deweloperskie o wyspecjalizowane funkcje do analizowania i debugowania scenariuszy związanych z wycofaniem plików cookie innych firm i wdrażaniem nowych alternatywnych rozwiązań chroniących prywatność.

Możesz pobrać rozszerzenie z Chrome Web Store lub skorzystać z repozytorium PSAT i witryny wiki.

Sprawdzanie zewnętrznych firm za pomocą plików cookie

Jeśli wykryjesz pliki cookie ustawiane przez inne firmy, skontaktuj się z nimi, aby dowiedzieć się, czy mają plany dotyczące wycofania tych plików. Na przykład konieczne może być przejście na nowszą wersję używanej biblioteki lub zmiana opcji konfiguracji w usłudze albo niepodejmowanie żadnych działań, jeśli dostawca samodzielnie wprowadza konieczne zmiany.

2. Przeprowadź test pod kątem awarii

Możesz uruchomić Chrome przy użyciu flagi wiersza poleceń --test-third-party-cookie-phaseout lub w Chrome 118, włącz chrome://flags/#test-third-party-cookie-phaseout. Spowoduje to, że Chrome będzie blokować pliki cookie innych firm oraz korzystać z nowych funkcji i środków łagodzących, aby jak najlepiej symulować ich stan po wycofaniu.

Możesz też skorzystać z przeglądarki z plikami cookie innych firm blokowanymi przez chrome://settings/cookies, ale pamiętaj, że dzięki flagom włączone są też nowe i zaktualizowane funkcje. Blokowanie plików cookie innych firm to dobry sposób na wykrywanie problemów, które niekoniecznie są dowodem ich rozwiązania.

Jeśli masz aktywny pakiet testowy witryn, wykonaj 2 testy równoległe: jedno z przeglądarką Chrome ze standardowymi ustawieniami, a drugie z tą samą wersją Chrome z flagą --test-third-party-cookie-phaseout. Wszystkie błędy podczas drugiego uruchomienia, a nie przy pierwszym, nadają się do sprawdzenia pod kątem zależności plików cookie innych firm. Pamiętaj, aby zgłosić napotkane problemy.

Gdy zidentyfikujesz problematyczne pliki cookie i poznasz ich zastosowania, możesz skorzystać z podanych niżej opcji, aby wybrać niezbędne rozwiązanie.

3. Używaj plików cookie Partitioned z CHIPS

Jeśli Twój plik cookie innej firmy jest używany w kontekście 1:1 umieszczonego w witrynie najwyższego poziomu, rozważ użycie atrybutu Partitioned w ramach CHIPS (plików cookie o niezależnym stanie partycjonowania), aby umożliwić dostęp z wielu witryn z osobnym plikiem cookie używanym dla każdej witryny.

Atrybut Partycjonowany umożliwia ustawienie osobnego pliku cookie fav_store dla każdej witryny najwyższego poziomu.

Aby zaimplementować CHIPS, dodaj atrybut Partitioned do nagłówka Set-Cookie:

Jeśli ustawisz Partitioned, witryna będzie zapisywać plik cookie w osobnym pliku cookie partycjonowanym przez witrynę najwyższego poziomu. W powyższym przykładzie plik cookie pochodzi z adresu store-finder.site, na którym znajduje się mapa sklepów, dzięki której użytkownik może zapisać ulubiony sklep. Jeśli używany jest CHIPS, a zasada brand-a.site umieszcza tag store-finder.site, wartość pliku cookie fav_store wynosi 123. Następnie, gdy brand-b.site również umieszcza w witrynie store-finder.site, ustawia i wysyła własne partycjonowane wystąpienie pliku cookie fav_store, na przykład z wartością 456.

Oznacza to, że umieszczone usługi nadal mogą zapisywać stan, ale nie mają współdzielonej pamięci między witrynami, która umożliwiłaby śledzenie w witrynach.

Potencjalne przypadki użycia: umieszczanie na czacie z osobami trzecimi, umieszczanie map z innych witryn, umieszczanie płatności z zewnętrznych źródeł, równoważenie obciążenia sieci CDN zasobów podrzędnych, dostawcy CMS bez interfejsu graficznego, domeny piaskownicy do wyświetlania niezaufanych treści użytkownika, zewnętrzne sieci CDN korzystające z plików cookie do kontroli dostępu, wywołania interfejsów API innych firm, które wymagają plików cookie w żądaniach, reklamy osadzone z określonym stanem według wydawcy.

Więcej informacji o CHIPS

4. Używanie interfejsu Storage Access API i zestawów powiązanych witryn

Jeśli Twój plik cookie innej firmy jest używany tylko w niewielkiej liczbie powiązanych witryn, możesz skorzystać z zestawów powiązanych witryn, aby umożliwić dostęp do tego pliku cookie z różnych witryn w kontekście zdefiniowanych witryn.

Aby wdrożyć RWS, musisz zdefiniować i przesłać grupę witryn do zestawu. Aby mieć pewność, że witryny są ze sobą istotnie powiązane, zasady prawidłowego zestawu wymagają grupowania tych witryn według: powiązanych witryn, które wykazują widoczny związek (np. warianty produktów danej firmy), domen usług (np. interfejsów API, sieci CDN) lub domen krajowych (np. *.uk, *.jp).

Zestawy powiązanych witryn umożliwiają dostęp do plików cookie w kontekście zadeklarowanych witryn, ale nie w witrynach innych firm.

Witryny mogą używać interfejsu Storage Access API, aby wysyłać żądania dostępu do plików cookie z innych witryn za pomocą requestStorageAccess() lub przekazywać dostęp za pomocą requestStorageAccessFor(). Gdy witryny znajdują się w tym samym zestawie, przeglądarka automatycznie przyzna dostęp i będą dostępne pliki cookie pochodzące z innych witryn.

Oznacza to, że grupy powiązanych witryn nadal mogą korzystać z plików cookie pochodzących z innych witryn w ograniczonym kontekście, ale nie wiążą się z ryzykiem udostępniania plików cookie innych firm w niepowiązanych witrynach w sposób, który umożliwi śledzenie w witrynach.

Potencjalne przypadki użycia: domeny w poszczególnych aplikacjach, domeny typowe dla marki, domeny krajowe, domeny piaskownicy do wyświetlania niezaufanych treści użytkowników, domeny usług dla interfejsów API, sieci CDN.

Więcej informacji o RWS

5. Migracja do odpowiednich interfejsów API

Układy CHIPS i RWS umożliwiają korzystanie z określonych typów dostępu do plików cookie z różnych witryn przy jednoczesnym zachowaniu prywatności użytkowników, jednak w pozostałych przypadkach użycia plików cookie innych firm należy wdrożyć alternatywy zapewniające ochronę prywatności.

Piaskownica prywatności udostępnia szereg interfejsów API stworzonych z myślą o określonych zastosowaniach, które nie wymagają plików cookie innych firm:

  • Federated Credential Management (FedCM) umożliwia korzystanie z usług tożsamości sfederowanej, co umożliwia użytkownikom logowanie się w witrynach i usługach.
  • Tokeny prywatności umożliwiają zapobieganie oszustwom i spamowi przez wymianę ograniczonych informacji, które nie umożliwiają identyfikacji użytkownika między witrynami.
  • Interfejs Topics umożliwia wyświetlanie reklam opartych na zainteresowaniach i personalizację treści.
  • Funkcja Protected Audience umożliwia korzystanie z remarketingu i niestandardowych list odbiorców.
  • Raporty atrybucji umożliwiają pomiar liczby wyświetleń reklam i konwersji.

Oprócz tego Chrome obsługuje interfejs Storage Access API (SAA) do używania w elementach iframe po interakcji użytkownika. Umowa SAA jest już obsługiwana w Edge, Firefox i Safari. Naszym zdaniem pozwala to zachować równowagę pomiędzy ochroną prywatności użytkowników a zapewnianiem zgodności z różnymi przeglądarkami, a jednocześnie umożliwia udostępnianie kluczowych funkcji w różnych witrynach.

Pamiętaj, że interfejs Storage Access API wyświetli użytkownikom prośbę o przyznanie uprawnień do przeglądarki. Aby zapewnić optymalną wygodę użytkownikom, wyświetlimy pytanie tylko wtedy, gdy witryna requestStorageAccess() wywołała interakcję z umieszczoną stroną i odwiedził wcześniej witrynę zewnętrzną w kontekście nadrzędnym. Po pomyślnym uwierzytelnieniu witryna będzie mogła korzystać z plików cookie pochodzących z innych witryn na 30 dni. Potencjalne przypadki użycia to uwierzytelnione elementy umieszczone w innych witrynach, np. widżety komentarzy w sieciach społecznościowych, dostawcy usług płatniczych, subskrybowane usługi wideo.

Jeśli nadal masz pliki cookie innych firm, które nie zostały uwzględnione w tych opcjach, zgłoś nam ten problem i zastanów się, czy istnieją alternatywne rozwiązania, które nie wymagają funkcji umożliwiających śledzenie w witrynach.

Pomoc dla przedsiębiorstw

Przeglądarka Chrome zarządzana przez firmę ma zawsze unikalne wymagania w porównaniu z ogólnym użytkowaniem internetu, dlatego zadbamy, aby administratorzy mieli kontrolę nad wycofaniem plików cookie innych firm w swoich przeglądarkach.

Podobnie jak w przypadku większości eksperymentów w Chrome, większość użytkowników firmowych zostanie automatycznie wykluczona z 1% plików cookie innych firm. W przypadku tych nielicznych, których może dotyczyć ten problem, administratorzy firm mogą ustawić zasadę BlockthirdPartyCookie na false, aby przed rozpoczęciem eksperymentu wyłączyć zarządzane przeglądarki i dać czas na wprowadzenie niezbędnych zmian, aby nie polegały one na tej zasadzie ani na plikach cookie innych firm. Więcej dowiesz się z informacji o wersji Chrome Enterprise.

Planujemy też udostępnić dalsze raporty i narzędzia, które ułatwią identyfikowanie wykorzystywania plików cookie innych firm w witrynach firmowych. W danych o wykorzystaniu Chrome widać mniej informacji o przeglądarkach dla firm, co oznacza, że firmy powinny testować urządzenia pod kątem awarii i zgłaszać nam problemy.

Integracje SaaS z modelem Enterprise będą mogły korzystać z opisanego poniżej okresu próbnego wycofywania oferowanego przez firmę zewnętrzną.

Poproś o więcej czasu na skorzystanie z zewnętrznego okresu próbnego wycofania zgody na wykorzystanie danych w przypadkach niezwiązanych z reklamami

Zdajemy sobie sprawę, że tak jak w przypadku wielu poprzednich wycofywania rozwiązań dostępnych w internecie, tak i może się zdarzyć, że witryny będą potrzebować więcej czasu na wprowadzenie niezbędnych zmian. W przypadku takich zmian związanych z prywatnością musimy również brać to pod uwagę z najlepszym interesem użytkowników internetu.

Planujemy zaoferować okres próbny wycofywania, aby umożliwić witrynom i usługom używanym w kontekście innych witryn rejestrowanie się w celu korzystania z plików cookie innych firm przez ograniczony czas.

W miarę rozwoju planów będziemy podawać więcej szczegółów, ale zaczniemy od kilku kluczowych zasad:

  • Będzie to okres próbny wycofywania przez firmy zewnętrzne, który umożliwi umieszczanie w witrynach innych firm zgody na tymczasowe dalsze korzystanie z plików cookie innych firm.
  • Podczas rejestracji trzeba przejść proces weryfikacji, aby mieć pewność, że okres próbny wycofania jest używany tylko w przypadku funkcji, które mają znaczący wpływ na najważniejsze ścieżki użytkowników. Każda rejestracja będzie rozpatrywana indywidualnie.
  • Ta zmiana nie wpłynie na testy reklam zaplanowane na początku 2024 r. zgodnie z opisem ustalonym przez CMA. Oznacza to, że przypadki użycia reklam nie będą brane pod uwagę w okresie próbnym wycofania.

Następny krok: w tym miesiącu opublikujemy intencje na liście adresowej blink-dev z dodatkowymi informacjami. W tym miesiącu będziemy też aktualizować dokumentację.

Ochrona najważniejszych wrażeń użytkowników

Pliki cookie pochodzące z innych stron od ponad ćwierć wieku odgrywają kluczową rolę w sieci. Oznacza to, że każda zmiana, zwłaszcza ta niezwykła, jest złożonym procesem, który wymaga skoordynowanego i stopniowego podejścia. Dodatkowe atrybuty plików cookie i nowe interfejsy API zapewniające ochronę prywatności mają w większości przypadków zastosowanie, ale istnieją określone scenariusze, w których chcemy mieć pewność, że nie pogarszamy komfortu korzystania z witryn.

Przede wszystkim są to procesy uwierzytelniania lub płatności, w których witryna najwyższego poziomu otwiera wyskakujące okienko lub przekierowuje użytkownika do witryny zewnętrznej, aby wykonać operację, a potem wraca do witryny najwyższego poziomu i korzysta z pliku cookie w tej samej ścieżce powrotnej lub w umieszczonym kontekście. Aby zidentyfikować takie scenariusze, zamierzamy udostępnić tymczasowy zestaw danych heurystycznych, a przez ograniczony czas zezwolić na używanie plików cookie innych firm, aby dać witrynom więcej czasu na wprowadzenie niezbędnych zmian.

Następny krok: w tym miesiącu opublikujemy intencję na liście adresowej blink-dev i wprowadzimy dalsze szczegóły w tej witrynie.

Zgłaszanie problemów z plikami cookie innych firm i uzyskiwanie pomocy

Chcemy mieć pewność, że rejestrujemy różne sytuacje, w których witryny nie działają bez plików cookie innych firm, i chcemy mieć pewność, że udostępniamy wskazówki, narzędzia i funkcje, które umożliwiają stronom uwolnienie od zależności plików cookie innych firm. Jeśli po wyłączeniu plików cookie innych firm w Twojej witrynie lub usłudze, na której polegasz, występują awarie, możesz zgłosić to za pomocą naszego narzędzia do śledzenia awarii na stronie goo.gle/report-3pc-broken.

Jeśli masz pytania na temat procesu wycofywania i planu Chrome, możesz zgłosić nowy problem, korzystając z funkcji „wycofania plików cookie innych firm”. w naszym repozytorium pomocy dla deweloperów.