Если на вашем сайте используются сторонние файлы cookie, пришло время принять меры по мере их прекращения. Чтобы облегчить тестирование, с 4 января 2024 года Chrome ограничил использование сторонних файлов cookie для 1 % пользователей. Начиная с третьего квартала 2024 года Chrome планирует расширить ограничения на использование сторонних файлов cookie до 100 % пользователей при условии устранения оставшихся проблем с конкуренцией. Управление по конкуренции и рынкам Великобритании.
Наша цель при создании Privacy Sandbox — сократить межсайтовое отслеживание, сохраняя при этом функциональность, обеспечивающую свободный доступ к онлайн-контенту и услугам для всех. Устаревание и удаление сторонних файлов cookie воплощает проблему, поскольку они обеспечивают критически важные функции для входа в систему, защиты от мошенничества, рекламы и, как правило, возможности встраивания богатого стороннего контента на ваши сайты, но в то же время они а также ключевые средства межсайтового отслеживания.
На предыдущем важном этапе мы запустили ряд API-интерфейсов, обеспечивающих ориентированную на конфиденциальность альтернативу сегодняшнему статус-кво для таких случаев использования, как идентификация, реклама и обнаружение мошенничества. Имея альтернативы, мы можем перейти к поэтапному отказу от сторонних файлов cookie.
В этой серии статей об обратном отсчете файлов cookie мы познакомим вас с графиком и немедленными действиями, которые вы можете предпринять, чтобы обеспечить готовность ваших сайтов.
1% прекращение поддержки сторонних файлов cookie и тестирование с помощью Chrome
На странице Privacysandbox.com вы можете увидеть два важных события в четвертом квартале 2023 года и первом квартале 2024 года в рамках режимов тестирования с поддержкой Chrome . Это тестирование в первую очередь предназначено для организаций, тестирующих API-интерфейсы релевантности и измерения Privacy Sandbox, однако в рамках этого мы отключим сторонние файлы cookie для 1 % пользователей Chrome Stable.
Это означает, что с начала 2024 года вы можете ожидать увеличения доли пользователей Chrome на своем сайте с отключенными сторонними файлами cookie, даже если вы не участвуете активно в тестировании с помощью Chrome. Этот период тестирования продлится до третьего квартала 2024 года, когда после консультации с CMA и при условии решения любых проблем с конкуренцией мы планируем начать отключать сторонние файлы cookie для всех пользователей Chrome.
Подготовьтесь к поэтапному отказу от сторонних файлов cookie
Мы разбили процесс на следующие ключевые этапы, подробно описанные ниже, чтобы вы были готовы к работе вашего сайта без сторонних файлов cookie:
- Проведите аудит использования сторонних файлов cookie .
- Тест на поломку .
- Для межсайтовых файлов cookie, которые хранят данные для каждого сайта отдельно, например, для внедрения, рассмотрите
Partitioned
с помощью CHIPS . - Для межсайтовых файлов cookie для небольшой группы сайтов, на которые имеются значимые ссылки, рассмотрите наборы связанных веб-сайтов .
- В других случаях использования сторонних файлов cookie перейдите на соответствующие веб-API .
1. Проведите аудит использования сторонних файлов cookie.
Сторонние файлы cookie можно идентифицировать по значению SameSite=None
. Вам следует поискать в своем коде случаи, когда вы устанавливаете для атрибута SameSite
это значение. Если вы ранее вносили изменения, добавляя SameSite=None
в свои файлы cookie примерно в 2020 году, эти изменения могут стать хорошей отправной точкой.
Инструменты разработчика Chrome
На панели «Сеть Chrome DevTools» отображаются файлы cookie, установленные и отправленные по запросам. На панели приложения вы можете увидеть заголовок «Файлы cookie» в разделе «Хранилище». Вы можете просматривать файлы cookie, сохраненные для каждого сайта, к которому осуществляется доступ, в рамках загрузки страницы. Вы можете выполнить сортировку по столбцу SameSite
, чтобы сгруппировать все файлы cookie None
.
В Chrome 118 на вкладке «Проблемы DevTools» отображается проблема с критическими изменениями: «Файлы cookie, отправленные в межсайтовом контексте, будут заблокированы в будущих версиях Chrome». В проблеме перечислены потенциально затронутые файлы cookie для текущей страницы.
Инструмент анализа конфиденциальной среды (PSAT)
Мы также создали инструмент анализа конфиденциальной изолированной программной среды (PSAT) — расширение DevTools, облегчающее анализ использования файлов cookie во время сеансов просмотра. Это обеспечивает пути отладки файлов cookie и функций Privacy Sandbox, а также точки доступа для получения дополнительной информации об инициативе Privacy Sandbox.
Расширение дополняет DevTools специализированными возможностями для анализа и отладки сценариев, связанных с прекращением поддержки сторонних файлов cookie и внедрением новых альтернатив, сохраняющих конфиденциальность .
Вы можете загрузить расширение из Интернет-магазина Chrome или получить доступ к репозиторию PSAT и вики .
Проверьте свои сторонние ресурсы с помощью файлов cookie
Если вы обнаружите файлы cookie, установленные третьими лицами, вам следует уточнить у этих поставщиков, есть ли у них планы по поэтапному отказу от сторонних файлов cookie. Например, вам может потребоваться обновить версию используемой вами библиотеки, изменить параметр конфигурации в службе или не предпринимать никаких действий, если третья сторона сама вносит необходимые изменения.
2. Проверка на поломку
Вы можете запустить Chrome с помощью флага командной строки --test-third-party-cookie-phaseout
или в Chrome 118 включить chrome://flags/#test-third-party-cookie-phaseout
. Это позволит Chrome блокировать сторонние файлы cookie и гарантировать активность новых функций и средств защиты, чтобы лучше имитировать состояние после прекращения использования.
Вы также можете попробовать использовать сторонние файлы cookie, заблокированные через chrome://settings/cookies
, но имейте в виду, что этот флаг гарантирует, что новые и обновленные функции также будут включены. Блокировка сторонних файлов cookie — хороший способ обнаружить проблемы, но не обязательно проверять, что вы их устранили.
Если вы поддерживаете активный набор тестов для своих сайтов, вам следует выполнить два параллельных запуска: один с Chrome с обычными настройками, а другой с той же версией Chrome, запущенной с --test-third-party-cookie-phaseout
-флаг --test-third-party-cookie-phaseout
. Любые неудачные тесты при втором запуске, а не при первом, являются хорошими кандидатами для исследования зависимостей сторонних файлов cookie. Обязательно сообщайте об обнаруженных проблемах .
После того как вы определили файлы cookie с проблемами и поняли варианты их использования, вы можете воспользоваться следующими вариантами, чтобы выбрать необходимое решение.
3. Используйте Partitioned
файлы cookie с CHIPS.
Если ваш сторонний файл cookie используется во встроенном контексте 1:1 с сайтом верхнего уровня, вы можете рассмотреть возможность использования атрибута Partitioned
как части файлов cookie с независимым разделенным состоянием (CHIPS), чтобы разрешить межсайтовый доступ с помощью отдельный файл cookie, используемый для каждого сайта.
Чтобы реализовать CHIPS, вы добавляете атрибут Partitioned
в заголовок Set-Cookie
:
Установив Partitioned
, сайт соглашается хранить файлы cookie в отдельной банке файлов cookie, разделенной сайтом верхнего уровня. В приведенном выше примере файл cookie поступает с store-finder.site
, на котором размещена карта магазинов, позволяющая пользователю сохранить свой любимый магазин. При использовании CHIPS, когда brand-a.site
встраивает store-finder.site
, значение файла cookie fav_store
равно 123
. Затем, когда brand-b.site
также встраивает store-finder.site
они устанавливают и отправляют свой собственный секционированный экземпляр файла cookie fav_store
, например, со значением 456
.
Это означает, что встроенные службы по-прежнему могут сохранять состояние, но не имеют общего межсайтового хранилища, которое позволило бы осуществлять межсайтовое отслеживание.
Потенциальные варианты использования: встраивание сторонних чатов, встраивание сторонних карт, встраивание сторонних платежей, балансировка нагрузки CDN подресурсов, поставщики безголовых CMS, домены песочницы для обслуживания ненадежного пользовательского контента, сторонние CDN, использующие файлы cookie для контроля доступа, третьи Сторонние вызовы API, для которых требуются файлы cookie по запросам, встроенные объявления с указанием состояния для каждого издателя.
4. Используйте API доступа к хранилищу и связанные наборы веб-сайтов.
Если ваш сторонний файл cookie используется только на небольшом количестве связанных сайтов, вы можете рассмотреть возможность использования наборов связанных веб-сайтов (RWS), чтобы обеспечить межсайтовый доступ для этого файла cookie в контексте этих определенных сайтов.
Чтобы реализовать RWS, вам необходимо определить и отправить группу сайтов для набора. Чтобы обеспечить значимую связь между сайтами, политика допустимого набора требует группировать эти сайты по: связанным сайтам, имеющим видимую связь друг с другом (например, варианты предложения продуктов компании), доменам услуг (например, API, CDN) или национальные домены (например, *.uk, *.jp).
Сайты могут использовать API доступа к хранилищу для запроса доступа к межсайтовым файлам cookie с помощью requestStorageAccess()
или делегирования доступа с помощью requestStorageAccessFor()
. Если сайты входят в один и тот же набор, браузер автоматически предоставит доступ и будут доступны межсайтовые файлы cookie.
Это означает, что группы связанных сайтов по-прежнему могут использовать межсайтовые файлы cookie в ограниченном контексте, но не рискуют передавать сторонние файлы cookie между несвязанными сайтами таким образом, чтобы это позволяло осуществлять межсайтовое отслеживание.
Потенциальные варианты использования: домены для конкретных приложений, домены для конкретных брендов, домены для конкретных стран, домены песочницы для обслуживания ненадежного пользовательского контента, домены служб для API, CDN.
5. Перейдите на соответствующие веб-API.
CHIPS и RWS обеспечивают определенные типы доступа к межсайтовым файлам cookie, сохраняя при этом конфиденциальность пользователя, однако другие варианты использования сторонних файлов cookie должны перейти к альтернативам, ориентированным на конфиденциальность.
Privacy Sandbox предоставляет ряд специально созданных API для конкретных случаев использования без необходимости использования сторонних файлов cookie:
- Федеративное управление учетными данными (FedCM) позволяет использовать федеративные службы идентификации, позволяющие пользователям входить на сайты и в службы.
- Частные государственные токены обеспечивают защиту от мошенничества и спама путем обмена ограниченной, неидентифицирующей информацией между сайтами.
- Темы позволяют размещать рекламу на основе интересов и персонализировать контент.
- Защищенная аудитория позволяет использовать ремаркетинг и индивидуальные аудитории.
- Отчеты по атрибуции позволяют измерять показы рекламы и конверсии.
Кроме того, Chrome поддерживает API доступа к хранилищу (SAA) для использования в iframe при взаимодействии с пользователем. SAA уже поддерживается в Edge, Firefox и Safari . Мы считаем, что это обеспечивает хороший баланс между сохранением конфиденциальности пользователей и одновременно обеспечением критически важных межсайтовых функций с преимуществами кросс-браузерной совместимости.
Обратите внимание, что API доступа к хранилищу отображает пользователям запрос на разрешение браузера. Чтобы обеспечить оптимальное взаимодействие с пользователем, мы будем запрашивать его только в том случае, если сайт, вызывающий requestStorageAccess()
взаимодействовал со встроенной страницей и ранее посещал сторонний сайт в контексте верхнего уровня. Успешный грант предоставит доступ к межсайтовым файлам cookie для этого сайта в течение 30 дней. Потенциальными вариантами использования являются аутентифицированные межсайтовые встраивания, такие как виджеты комментариев в социальных сетях, поставщики платежей, видеосервисы по подписке.
Если у вас все еще есть варианты использования сторонних файлов cookie, которые не подпадают под эти параметры, вам следует сообщить нам об этой проблеме и рассмотреть возможность наличия альтернативных реализаций, не зависящих от функций, которые могут включить межсайтовое отслеживание.
Корпоративная поддержка
Chrome, управляемый предприятием, всегда предъявляет уникальные требования по сравнению с обычным использованием Интернета, и мы обеспечим, чтобы администраторы предприятий имели надлежащий контроль над прекращением поддержки сторонних файлов cookie в своих браузерах.
Как и в большинстве экспериментов Chrome, большинство конечных пользователей предприятий будут автоматически исключены из 1% прекращения поддержки сторонних файлов cookie. Для тех немногих, кого это может затронуть, администраторы предприятия могут установить для политики BlockThirdPartyCookies значение false
чтобы отказаться от своих управляемых браузеров до начала эксперимента и дать время внести необходимые изменения, чтобы не полагаться на эту политику или сторонние файлы cookie. Подробнее можно прочитать в примечаниях к выпуску Chrome Enterprise .
Мы также намерены предоставить дополнительную отчетность и инструменты, которые помогут выявить использование сторонних файлов cookie на корпоративных сайтах. Корпоративные браузеры менее заметны в показателях использования Chrome, а это означает, что для предприятий особенно важно проверять их на наличие поломок и сообщать нам о проблемах .
При интеграции Enterprise SaaS можно будет использовать стороннюю пробную версию устаревшей версии, описанную ниже.
Запросите дополнительное время для сторонней пробной версии устаревшей версии для случаев использования, не связанных с рекламой.
Как и во многих предыдущих случаях устаревания в Интернете, мы понимаем, что бывают случаи, когда сайтам требуется дополнительное время для внесения необходимых изменений. Когда дело доходит до подобных изменений, связанных с конфиденциальностью, нам также необходимо сопоставлять их с интересами людей, использующих Интернет.
Мы планируем предложить пробную версию прекращения поддержки , чтобы предоставить сайтам или службам, используемым в межсайтовом контексте, возможность зарегистрироваться для продолжения доступа к сторонним файлам cookie в течение ограниченного периода времени.
Мы будем делиться более подробной информацией по мере реализации планов, но начнем с нескольких ключевых принципов:
- Это будет сторонняя пробная версия прекращения поддержки, позволяющая сторонним встраиваемым системам временно продолжить использование сторонних файлов cookie.
- Регистрация потребует процесса проверки, чтобы убедиться, что пробная версия устаревшей версии используется только для функций, которые сильно влияют на критически важные действия пользователя, и регистрация будет рассматриваться в каждом конкретном случае.
- Это не помешает рекламному тестированию, запланированному на начало 2024 года, как описано CMA . Таким образом, это означает, что варианты использования рекламы не будут рассматриваться в рамках пробного периода устаревания.
Следующий шаг: в этом месяце мы опубликуем намерение в списке рассылки блинк-дев с более подробной информацией и продолжим обновлять документацию здесь.
Сохранение критически важного пользовательского опыта
Межсайтовые файлы cookie уже более четверти века являются важной частью Интернета. Это делает любое изменение, особенно кардинальное, сложным процессом, требующим скоординированного и поэтапного подхода. Хотя дополнительные атрибуты файлов cookie и новые API-интерфейсы, ориентированные на конфиденциальность, используются в большинстве случаев использования, существуют определенные сценарии, в которых мы хотим гарантировать, что не нарушаем работу людей, использующих эти сайты.
В первую очередь это потоки аутентификации или платежей, когда сайт верхнего уровня либо открывает всплывающее окно, либо перенаправляет на сторонний сайт для выполнения операции, а затем возвращается на сайт верхнего уровня, используя при этом файл cookie. путешествие или во встроенном контексте. Мы намерены предоставить временный набор эвристик для выявления этих сценариев и разрешить использование сторонних файлов cookie в течение ограниченного периода времени, предоставляя сайтам более длительное время для внесения необходимых изменений.
Следующий шаг: в этом месяце мы опубликуем намерение в списке рассылки Blink-dev с подробностями и продолжим обновлять документацию здесь.
Сообщить о проблемах со сторонними файлами cookie и получить помощь
Мы хотим убедиться, что мы фиксируем различные сценарии, в которых сайты не работают без сторонних файлов cookie, чтобы гарантировать, что мы предоставили рекомендации, инструменты и функциональные возможности, позволяющие сайтам перейти от зависимостей от сторонних файлов cookie. Если ваш сайт или служба, от которой вы зависите, ломается из-за отключенных сторонних файлов cookie, вы можете сообщить об этом в нашу систему отслеживания поломок по адресу goo.gle/report-3pc-broken .
Если у вас есть вопросы относительно процесса прекращения поддержки и плана Chrome, вы можете поднять новую проблему, используя тег «Устаревание сторонних файлов cookie» в нашем репозитории поддержки разработчиков.