Preparação para o fim dos cookies de terceiros

Estamos nos aproximando da descontinuação do uso de cookies de terceiros, então está na hora de tomar providências caso seu site os utilize. Para facilitar os testes, o Chrome restringiu cookies de terceiros para 1% dos usuários desde 4 de janeiro de 2024. O Chrome planeja aumentar as restrições de cookies de terceiros para 100% dos usuários a partir do 3o trimestre de 2024. Para solucionar as questões de concorrência pendentes da Autoridade de Concorrência e Mercados do Reino Unido,

Nosso objetivo com o Sandbox de privacidade é reduzir o rastreamento entre sites e, ao mesmo tempo, permitir a funcionalidade que mantém o conteúdo e os serviços on-line acessíveis sem custo financeiro para todos. A descontinuação e a remoção de cookies de terceiros engloba o desafio, já que eles permitem funcionalidades fundamentais de login, proteção contra fraudes, publicidade e geralmente a capacidade de incorporar conteúdo avançado de terceiros nos seus sites. Mas, ao mesmo tempo, também são os principais capacitadores do rastreamento entre sites.

Em nosso marco importante anterior, lançamos uma variedade de APIs que fornecem uma alternativa focada na privacidade ao status quo atual para casos de uso como identidade, publicidade e detecção de fraudes. Com as alternativas implementadas, podemos prosseguir e começar a eliminar cookies de terceiros.

Nesta série sobre a contagem regressiva dos cookies, vamos mostrar o cronograma e as ações imediatas que você pode tomar para garantir que seus sites estejam preparados.

Descontinuação de cookies de terceiros em 1% e testes facilitados pelo Chrome

Na linha do tempo de privacysandbox.com, você pode conferir dois marcos no 4o trimestre de 2023 e no 1o trimestre de 2024, como parte dos modos de teste facilitado pelo Chrome. Esse teste é destinado principalmente a organizações que testam as APIs de relevância e medição do Sandbox de privacidade. No entanto, como parte do processo, vamos desativar os cookies de terceiros para 1% dos usuários do Chrome Stable.

Isso significa que, a partir do início de 2024, haverá um aumento no número de usuários do Chrome no seu site com cookies de terceiros desativados, mesmo que você não participe ativamente dos testes facilitados pelo Chrome. Esse período de testes vai continuar até o terceiro trimestre de 2024, quando, após consultar a CMA e resolver qualquer problema relacionado à concorrência, planejamos desativar os cookies de terceiros para todos os usuários do Chrome.

Dividimos o processo em estas etapas principais, com detalhes abaixo, para garantir que você esteja preparado para que seu site funcione sem cookies de terceiros:

  1. Faça uma auditoria do uso de cookies de terceiros.
  2. Teste se há falhas.
  3. Para cookies entre sites que armazenam dados por site, como uma incorporação, considere usar Partitioned com CHIPS.
  4. Para cookies entre sites em um pequeno grupo de sites vinculados significativamente, considere usar conjuntos de sites relacionados.
  5. Para outros casos de uso de cookies de terceiros, migre para as APIs da Web relevantes.

1. Auditar o uso de cookies de terceiros

Cookies de terceiros podem ser identificados pelo valor SameSite=None. Pesquise no código para procurar instâncias em que você definiu o atributo SameSite com esse valor. Se você fez mudanças anteriormente para adicionar SameSite=None aos seus cookies por volta de 2020, essas mudanças podem ser um bom ponto de partida.

Chrome DevTools

O painel Network do Chrome DevTools mostra os cookies definidos e enviados de acordo com as solicitações. No painel "Application", você verá o título "Cookies" em "Armazenamento". Você pode navegar pelos cookies armazenados para cada site acessado como parte do carregamento da página. É possível classificar pela coluna SameSite para agrupar todos os cookies None.

Guia "Issues" do DevTools mostrando um aviso de cookies SameSite=None.

No Chrome 118, a guia Problemas do DevTools mostra o problema de alteração interruptiva "O cookie enviado em um contexto entre sites será bloqueado em versões futuras do Chrome". O problema lista os cookies potencialmente afetados da página atual.

Ferramenta de análise de dados do Sandbox de privacidade (PSAT)

Também criamos a Ferramenta de análise de dados do Sandbox de privacidade (PSAT, na sigla em inglês), uma extensão do DevTools para facilitar a análise do uso de cookies durante as sessões de navegação. Isso fornece caminhos de depuração para cookies e recursos do Sandbox de privacidade, com pontos de acesso para saber mais sobre a iniciativa do Sandbox de privacidade.

Guia "Issues" do DevTools mostrando um aviso de cookies SameSite=None.

A extensão complementa o DevTools com recursos especializados para analisar e depurar cenários relacionados à descontinuação de cookies de terceiros e à adoção de novas alternativas que preservam a privacidade.

Você pode fazer o download da extensão na Chrome Web Store ou acessar o repositório e o wiki PSAT.

Verificar os serviços de terceiros usando cookies

Se você identificar cookies definidos por terceiros, verifique com esses provedores se eles têm planos para a descontinuação gradual de cookies de terceiros. Por exemplo, talvez seja necessário fazer upgrade da versão de uma biblioteca que você está usando, mudar uma opção de configuração no serviço ou não fazer nada se o terceiro estiver fazendo as mudanças necessárias.

2. Testar se há falhas

Inicie o Chrome usando a sinalização de linha de comando --test-third-party-cookie-phaseout ou, no Chrome 118, ative chrome://flags/#test-third-party-cookie-phaseout. Isso fará com que o Chrome bloqueie cookies de terceiros e garanta que novas funcionalidades e mitigações estejam ativas para simular melhor o estado após a descontinuação.

Você também pode tentar navegar com cookies de terceiros bloqueados por chrome://settings/cookies, mas lembre-se de que a sinalização garante que a funcionalidade nova e atualizada também seja ativada. Bloquear cookies de terceiros é uma boa abordagem para detectar problemas, mas não necessariamente para confirmar que você os corrigiu.

Se você mantiver um pacote de testes ativo para seus sites, faça duas execuções lado a lado: uma com o Chrome nas configurações normais e outra com a mesma versão do Chrome lançada com a sinalização --test-third-party-cookie-phaseout. Quaisquer falhas no teste na segunda execução e não na primeira são boas candidatas para investigar dependências de cookies de terceiros. Não se esqueça de informar os problemas encontrados.

Depois de identificar os cookies com problemas e entender os casos de uso deles, use as opções a seguir para escolher a solução necessária.

3. Usar cookies Partitioned com CHIPS

Quando seu cookie de terceiros for usado em um contexto incorporado de 1:1 com o site de nível superior, considere usar o atributo Partitioned como parte de "Cookies com estado particionado independente" (CHIPS, na sigla em inglês) para permitir o acesso entre sites com um cookie separado usado por site.

O atributo particionado permite que um cookie fav_store separado seja definido por site de nível superior.

Para implementar os CHIPS, adicione o atributo Partitioned ao seu cabeçalho Set-Cookie:

Ao definir Partitioned, o site aceita armazenar o cookie em um jar separado particionado pelo site de nível superior. No exemplo acima, o cookie vem de store-finder.site, que hospeda um mapa de lojas que permite que o usuário salve a loja favorita dele. Usando CHIPS, quando brand-a.site incorpora store-finder.site, o valor do cookie fav_store é 123. Quando brand-b.site também incorporar store-finder.site, ele vai definir e enviar a própria instância particionada do cookie fav_store, por exemplo, com o valor 456.

Isso significa que os serviços incorporados ainda podem salvar o estado, mas não têm armazenamento compartilhado entre sites que permitam o rastreamento entre sites.

Possíveis casos de uso:incorporações de chat de terceiros, incorporações de mapas de terceiros, incorporações de pagamentos de terceiros, balanceamento de carga de CDN com sub-recursos, provedores de CMS headless, domínios sandbox para veicular conteúdo de usuário não confiável, CDNs de terceiros que usam cookies para controle de acesso, chamadas de API de terceiros que exigem cookies nas solicitações, anúncios incorporados com escopo de estado por editor.

Saiba mais sobre os CHIPS

4. Usar a API Storage Access e conjuntos de sites relacionados

Quando o cookie de terceiros for usado apenas em um pequeno número de sites relacionados, considere usar os conjuntos de sites relacionados (RWS, na sigla em inglês) para permitir o acesso entre sites a esse cookie no contexto dos sites definidos.

Para implementar o RWS, você precisa definir e enviar o grupo de sites para o conjunto. Para garantir que os sites estejam significativamente relacionados, a política de um conjunto válido exige o agrupamento desses sites por: sites associados com uma relação visível entre si (por exemplo, variantes da oferta de produtos de uma empresa), domínios de serviço (por exemplo, APIs, CDNs) ou domínios de código de país (por exemplo, *.uk, *.jp).

Os conjuntos de sites relacionados permitem o acesso a cookies no contexto dos sites declarados, mas não em outros sites de terceiros.

Os sites podem usar a API Storage Access para solicitar acesso a cookies entre sites usando requestStorageAccess() ou delegar acesso usando requestStorageAccessFor(). Quando os sites estiverem no mesmo conjunto, o navegador vai conceder automaticamente o acesso, e os cookies entre sites vão ficar disponíveis.

Isso significa que grupos de sites relacionados ainda podem usar cookies entre sites em um contexto limitado, mas não arriscam compartilhar cookies de terceiros em sites não relacionados de forma a permitir o rastreamento entre sites.

Possíveis casos de uso:domínios específicos de apps, marcas, países, sandbox para veiculação de conteúdo de usuários não confiáveis, domínios de serviço para APIs e CDNs.

Saiba mais sobre o RWS

5. Migrar para as APIs da Web relevantes

Os CHIPS e o RWS permitem tipos específicos de acesso a cookies entre sites e, ao mesmo tempo, mantêm a privacidade do usuário. No entanto, os outros casos de uso para cookies de terceiros precisam migrar para alternativas com foco na privacidade.

O Sandbox de privacidade oferece várias APIs criadas especificamente para casos de uso específicos, sem a necessidade de cookies de terceiros:

Além disso, o Chrome é compatível com a API Storage Access (SAA) para uso em iframes com interação do usuário. O SAA já é compatível com o Edge, o Firefox e o Safari. Acreditamos que é o equilíbrio ideal entre manter a privacidade do usuário e, ao mesmo tempo, permitir funcionalidades críticas entre sites, com o benefício da compatibilidade entre navegadores.

A API Storage Access vai mostrar uma solicitação de permissão do navegador aos usuários. Para oferecer uma experiência ideal ao usuário, só vamos perguntar se o site que está chamando requestStorageAccess() interagiu com a página incorporada e já visitou o site de terceiros em um contexto de nível superior. Uma concessão bem-sucedida permitirá o acesso de cookies entre sites por 30 dias. Possíveis casos de uso são incorporações autenticadas entre sites, como widgets de comentários em redes sociais, provedores de pagamento e serviços de vídeo em que você se inscreveu.

Se você ainda tiver casos de uso de cookies de terceiros que não são abrangidos por essas opções, informe o problema e considere se há implementações alternativas que não dependam da funcionalidade que pode ativar o rastreamento entre sites.

Suporte empresarial

O Chrome gerenciado pela empresa sempre tem requisitos exclusivos em comparação com o uso geral da Web, e vamos garantir que os administradores corporativos tenham controles adequados sobre a descontinuação de cookies de terceiros nos navegadores.

Assim como acontece com a maioria dos experimentos do Chrome, a maioria dos usuários finais corporativos será automaticamente excluída da descontinuação de 1% dos cookies de terceiros. Para os poucos afetados, os administradores corporativos podem definir a política BlockThirdPartyCookies como false para desativar os navegadores gerenciados antes do experimento e permitir tempo para fazer as mudanças necessárias e não depender dessa política nem de cookies de terceiros. Saiba mais nas notas da versão do Chrome Enterprise.

Também pretendemos fornecer mais relatórios e ferramentas para ajudar a identificar o uso de cookies de terceiros em sites corporativos. Temos menos visibilidade dos navegadores corporativos nas métricas de uso do Chrome. Por isso, é muito importante para as empresas testar falhas e informar problemas.

As integrações SaaS empresariais poderão usar o teste de descontinuação de terceiros descrito abaixo.

Solicitar mais tempo com o teste de descontinuação de terceiros para casos de uso que não são de publicidade

Assim como aconteceu com muitas descontinuações anteriores na Web, sabemos que há casos em que os sites precisam de mais tempo para fazer as mudanças necessárias. Quando se trata de mudanças relacionadas à privacidade como essa, também precisamos equilibrar isso com os melhores interesses das pessoas que usam a Web.

Planejamos oferecer um teste de descontinuação para permitir que sites ou serviços usados em um contexto entre sites registrem o acesso contínuo a cookies de terceiros por um período limitado.

Compartilharemos mais detalhes à medida que os planos avançarem, mas estamos começando com alguns princípios-chave:

  • Ele será um teste de descontinuação de terceiros em que as incorporações de terceiros vão poder continuar usando temporariamente cookies de terceiros.
  • O registro exigirá um processo de revisão para garantir que o teste de descontinuação seja usado apenas para funções que afetam muito as jornadas críticas do usuário, e os registros serão considerados caso a caso.
  • Isso não vai interferir nos testes de publicidade planejados para o início de 2024, conforme descrito pela CMA. Sendo assim, isso significa que casos de uso de publicidade não serão considerados para o teste de descontinuação.

Próxima etapa:publicaremos um Intent na lista de e-mails blink-dev com mais detalhes este mês e continuaremos atualizando a documentação aqui.

Preservar experiências críticas do usuário

Os cookies entre sites têm sido uma parte essencial da Web há mais de um quarto de século. Isso faz com que qualquer mudança, especialmente uma alteração interruptiva, seja um processo complexo que requer uma abordagem coordenada e incremental. Ainda que os atributos de cookies adicionais e as novas APIs focadas na privacidade representem a maioria dos casos de uso, queremos garantir que a experiência das pessoas que usam esses sites não seja prejudicada por cenários específicos.

Basicamente, são fluxos de autenticação ou pagamento em que um site de nível superior abre uma janela pop-up ou redireciona para um site de terceiros para uma operação e depois retorna ao site de nível superior, usando um cookie nessa jornada de retorno ou no contexto incorporado. Pretendemos fornecer um conjunto temporário de heurísticas para identificar esses cenários e permitir cookies de terceiros por um período limitado, proporcionando aos sites uma janela maior para implementar as mudanças necessárias.

Próxima etapa:ainda este mês, vamos publicar uma intent na lista de e-mails blink-dev com mais detalhes e continuar atualizando a documentação aqui.

Como informar problemas com cookies de terceiros e receber ajuda

Queremos capturar os vários cenários em que os sites falham sem cookies de terceiros para garantir que fornecemos orientações, ferramentas e funcionalidades para permitir que os sites migrem para fora das suas dependências de cookies de terceiros. Se o seu site ou serviço do qual você depende está falhando com os cookies de terceiros desativados, você pode enviá-lo para o nosso rastreador de falhas em goo.gle/report-3pc-broken.

Se você tiver dúvidas sobre o processo de descontinuação e o plano do Chrome, denuncie um novo problema usando a tag "descontinuação de cookies de terceiros" no nosso repositório de suporte ao desenvolvedor.