Per facilitare i test, Chrome ha limitato per impostazione predefinita i cookie di terze parti per l'1% degli utenti di Chrome. Chrome ha in programma di estendere le restrizioni relative ai cookie di terze parti al 100% degli utenti a partire dal terzo trimestre del 2024, in risposta a eventuali altre preoccupazioni in materia di concorrenza della Competition and Markets Authority (CMA) del Regno Unito. Per una transizione più semplice attraverso il processo di ritiro, offriamo una prova di ritiro di terze parti che consente ai siti e ai servizi incorporati di richiedere ulteriore tempo per la migrazione dalle dipendenze dei cookie di terze parti per casi d'uso non pubblicitari.
La registrazione per questa prova relativa al ritiro è iniziata nella settimana del 4 dicembre 2023. La prova relativa al ritiro inizierà a gennaio 2024 e terminerà il 27 dicembre 2024. Gli sviluppatori devono apportare le modifiche e i piani necessari entro la data di fine della prova.
Siamo consapevoli che passa un breve periodo di tempo tra l'apertura delle registrazioni alle prove per il ritiro e il momento in cui il periodo di test facilitato di Chrome inizia a bloccare l'1% dei cookie. Per risolvere questi limiti di tempo, Chrome fornisce un periodo di tolleranza per le origini partecipanti mentre eseguono il deployment dei token delle prove di ritiro. Durante il periodo di tolleranza, che durerà fino al 30 giugno 2024, le origini registrate per la prova del ritiro avranno accesso ai cookie di terze parti in Chrome anche se non hanno ancora eseguito il deployment dei token. Lo scopo di questo periodo di tolleranza è prevenire problemi di compatibilità web durante la fase di transizione. Le origini partecipanti devono eseguire il deployment dei token di prova relativi al ritiro prima della fine del periodo di tolleranza.
Prove relative al ritiro
Le prove relative al ritiro sono un'opzione standard fornita da Chrome per consentire ai siti di registrarsi per un periodo di tempo aggiuntivo per la migrazione dalla funzionalità precedente rimossa. Una prova del ritiro è un tipo di prova dell'origine che consente di riattivare temporaneamente una funzionalità.
Questa prova è dedicata agli incorporamenti e ai servizi che impostano cookie di terze parti e che soddisfano i nostri criteri di idoneità definiti nella sezione seguente. In altre parole, se l'incorporamento o il servizio sono di terze parti, puoi registrarti per la prova relativa al ritiro per riattivare temporaneamente i cookie di terze parti in tutti i contesti in cui sono inclusi l'incorporamento o il servizio. La prova si applica solo all'origine incorporata registrata e non all'intero dominio di primo livello del sito visitato dagli utenti.
I siti di primo livello che utilizzano terze parti che si basano sui cookie non devono registrarsi per questa prova relativa al ritiro. Ti consigliamo di verificare i cookie di terze parti utilizzati nel tuo sito e di contattare i tuoi fornitori di terze parti per assicurarti che siano preparati per il ritiro.
Criteri di idoneità e procedura di revisione
Questa prova relativa al ritiro differisce dalle prove precedenti con l'introduzione di una procedura di revisione e approvazione per la partecipazione. Questo approccio consente di trovare un equilibrio tra il miglioramento della privacy per gli utenti sul web e l'attivazione dei servizi da cui dipendono per richiedere più tempo per la migrazione, se necessario.
I principi alla base di questa prova relativa al ritiro sono:
- Conservazione delle funzionalità critiche per gli utenti: questa prova relativa al ritiro è pensata per i provider di terze parti che dimostrano interruzioni funzionali nei percorsi degli utenti.
- Limitazione del monitoraggio degli utenti: la prova relativa al ritiro non è concepita per supportare il monitoraggio tra siti a scopi pubblicitari; pertanto, tali incorporamenti e servizi di terze parti utilizzati a scopi pubblicitari non sono idonei.
La mancata idoneità dei casi d'uso pubblicitari contribuirà inoltre a garantire che la prova relativa al ritiro non interferisca con i test di settore pianificati per l'inizio del 2024, come descritto dalla Competition and Markets Authority. Sono inclusi i domini correlati alla pubblicità utilizzati anche per scopi non pubblicitari.
Inizialmente, Chrome collaborerà con Disconnect.me, un leader del settore per la privacy su internet, e implementerà gli elenchi di protezione dai tracker di Disconnetti per identificare gli script e i domini classificati come pubblicità. La disconnessione è già utilizzata da altri browser per scopi simili sul web.
Applicheremo la seguente procedura per le richieste di registrazione:
- Se l'origine di terze parti corrisponde a un dominio pubblicitario noto, anche se l'origine corrisponde a una voce dell'elenco pubblicitario di Disconnetti, la richiesta di registrazione verrà rifiutata. In generale, le voci nell'elenco corrisponderanno a tutti i sottodomini al di sotto dell'origine specificata. Alcune voci, tuttavia, includono un elemento del percorso. Queste voci più specifiche corrisponderanno all'origine specificata, ma non ai sottodomini.
- È necessario fornire i passaggi per riprodurre un'esperienza con gli utenti inaccessibile. In particolare, deve essere un'esperienza per l'utente che utilizza il dispositivo in cui è archiviato il cookie e non per l'utente che esegue analisi dei dati in un secondo momento. Se non riusciamo a convalidare un'esperienza utente inaccessibile, la richiesta di registrazione verrà rifiutata.
- In caso contrario, la richiesta di registrazione verrà approvata.
- Se dichiari che un'origine è "simile" a una richiesta precedentemente approvata, fornisci una descrizione della relazione tra le origini.
Prevediamo di offrire una procedura di ricorso se l'origine della registrazione ritiene che ulteriori informazioni potrebbero chiarire una decisione relativa alla revisione. Il registrante può richiedere un ricorso presentando una nuova domanda sulla console della prova dell'origine. L'intento dei ricorsi riguarda le richieste respinte a causa della mancanza delle informazioni richieste (passaggi noti di bug di interruzione e/o di interruzione del servizio) e/o se l'origine di registrazione ritiene che più informazioni potrebbero soddisfare questi requisiti per chiarire una decisione di revisione.
Inoltre, approviamo i casi d'uso anti-abuso e antifrode in cui possiamo trovare prove a sostegno. Siamo lieti di ricevere feedback su come valutare meglio questi casi d'uso.
Richiedere la prova relativa al ritiro
Includi i passaggi di riproduzione che il nostro team può utilizzare per verificare la interruzione del funzionamento. In alternativa, se la procedura è più semplice e/o la tua funzionalità è limitata dall'accesso o simili, puoi fornire un link che rimanda a una registrazione dei passaggi per riprodurre il problema utilizzando Chrome DevTools Registratore.
- Vai a Prova per il ritiro dei cookie di terze parti e fai clic su "Registrati".
- Per "Origine web", specifica l'origine che pubblica gli script o la pagina incorporata.
- L'opzione "Corrispondenza di terze parti" dipende da come devi fornire il token. Le opzioni sono spiegate in maggiore dettaglio in Aggiungere il token di prova.
- Se fornisci il token in un'intestazione HTTP o un meta tag sulle tue pagine incorporate, non selezionare l'opzione "Corrispondenza di terze parti".
- Se stai inserendo il token con JavaScript in un altro sito, devi selezionare "Corrispondenza di terze parti".
- Se hai bisogno di entrambe le cose, dovrai effettuare registrazioni separate.
- Se ospiti contenuti tra siti in più sottodomini, seleziona l'opzione "Ho bisogno di un token per corrispondere a tutti i sottodomini dell'origine".
- Se questa opzione è selezionata, il token fornito corrisponderà al dominio registrato e ai domini sottostanti. Ad esempio: registra
https://example.com
per corrispondere aexample.com
,www.example.com
,foo.example.com
ebar.foo.example.com
. Se registrihttps://www.example.com
, il token corrisponderà awww.example.com
efoo.www.example.com
, ma non afoo.example.com
. - I token corrisponderanno a più sottodomini in modo simile alla corrispondenza con caratteri jolly, ad esempio
*.<domain>
. Richiedi un token perexample.com
, che potrai fornire sua.example.com
,b.example.com
. L'accesso ai cookie di terze parti verrà riabilitato solo per le origini specifiche che forniscono il token, non per tutti i sottodomini. Consulta Quali cookie vengono abilitati quando la corrispondenza dei sottodomini è abilitata?. - Se ospiti contenuti tra siti su origini separate che non sono nello stesso dominio, dovrai effettuare registrazioni separate per ogni origine.
- Se questa opzione è selezionata, il token fornito corrisponderà al dominio registrato e ai domini sottostanti. Ad esempio: registra
- Accetta tutte le condizioni incluse in "Divulgazione e accettazione" selezionando tutte le caselle.
- Invia la richiesta.
- Abbiamo bisogno di ulteriori informazioni per poter elaborare la tua richiesta. Riceverai
una notifica via email con un ticket generato automaticamente in cui ti verrà chiesto
di quanto segue:
- Il numero di sottodomini collegati all'origine richiesta
- L'ID bug o il link dei bug del repository di interruzione di terze parti associati che hai segnalato in precedenza a goo.gle/report-3pc-broken.
- Eventuali informazioni/contesto aggiuntivi relativi a interruzione/caso d'uso che vorresti che prendessimo in considerazione. (In caso di ricorso contro una richiesta di prova rifiutata, spiega perché o in che modo l'origine soddisfa i criteri definiti per questa prova).
Dopo averla inviata, esamineremo la richiesta e ti invieremo una notifica non appena la revisione sarà completata o se saranno necessarie ulteriori informazioni e se la richiesta è stata approvata o rifiutata. Riceverai anche lo stato e la motivazione del risultato. In caso di approvazione, puoi fornire il token della prova in base alle tue esigenze. In caso di rifiuto, puoi seguire le indicazioni nel ticket di richiesta.
Imposta flag per i test
Al momento, ti consigliamo di impostare i seguenti flag, disponibili in Chrome 123, per consentire test efficaci. Questa combinazione di impostazioni dei flag consente di replicare l'esperienza utente della Modalità B.
chrome://flags/#third-party-cookie-deprecation-trial
→enabled
Questa è l'impostazione predefinita. Consenti la partecipazione alla prova.chrome://flags/#tracking-protection-3pcd
→enabled
Attiva Protezione antitracciamento: mostra l'UI dell'icona a forma di occhio nella barra degli indirizzi per consentire all'utente di attivare temporaneamente i cookie di terze parti per un sito e fornisci chrome://settings/trackingProtection anziché chrome://settings/cookies.chrome://flags/#tpcd-metadata-grants
→disabled
Fai in modo che Chrome si comporti come se il periodo di tolleranza non fosse in vigore. Questa opzione può essere utilizzata per verificare che il tuo sito abbia eseguito correttamente il deployment dei token di prova relativi al ritiro, prima della fine del periodo di tolleranza (per un sito soggetto al periodo di tolleranza).chrome://flags/#tpcd-heuristics-grants
→disabled
Non consentire mitigazioni basate sull'euristica. Questo può essere utile per verificare che altre correzioni a lungo termine (senza cookie di terze parti) funzionino come previsto senza mitigazioni dell'euristica e che la partecipazione alla prova relativa al ritiro funzioni come previsto.
Se devi verificare manualmente che il periodo di tolleranza funzioni come previsto,
prima di testare il deployment, dovrai enable
chrome://flags/#tpcd-metadata-grants
anziché disabilitare.
Aggiungi il token della prova
Per ulteriori dettagli, consulta gli articoli Iniziare a utilizzare le prove dell'origine, Prove dell'origine di terze parti e Risolvere i problemi relativi alle prove dell'origine di Chrome.
Devi includere il token di prova in tutte le risposte della pagina in cui vuoi impostare o inviare cookie in un contesto tra siti.
Fornisci il token in un'intestazione HTTP
Se devi riattivare i cookie di terze parti per una pagina incorporata in un iframe cross-site, puoi includere l'intestazione HTTP Origin-Trial
nella risposta della pagina:
Origin-Trial: TOKEN_GOES_HERE
Ciò corrisponde a non abilitare l'opzione "Corrispondenza di terze parti" nella registrazione della prova di ritiro perché fornisci il token nelle tue risposte.
La risposta di questa pagina può impostare un cookie. Le richieste successive alla stessa origine, ad esempio le risorse secondarie nella pagina o le navigazioni da quella pagina, includeranno i cookie cross-site del sito e potrebbero anche impostare cookie.
Se hai bisogno che i cookie cross-site siano presenti nella prima richiesta alla tua origine nella sessione, puoi anche utilizzare l'intestazione Critical-Origin-Trial
che trasmette il nome della prova:
Critical-Origin-Trial: Tpcd
In questo modo il browser ritenterà la richiesta con i cookie di terze parti abilitati.
La prova relativa al ritiro viene fornita come prova permanente, il che significa che una volta ricevuto il token dal browser, il comportamento della prova verrà applicato fino a quando un iframe non viene caricato senza che sia presente un token di prova. Ti consigliamo di inviare il token di prova in modo coerente a ogni caricamento iframe.
Fornisci il token in un meta tag
All'interno di una pagina, puoi utilizzare un meta tag nel documento <head>
:
<meta http-equiv="origin-trial" content="TOKEN_GOES_HERE">
Il meta tag attiva i cookie cross-site per le richieste successive o JavaScript nella pagina, ma devi utilizzare l'intestazione HTTP se hai bisogno che i cookie esistenti vengano inviati nella richiesta iniziale.
Inserisci il token con JavaScript
Se devi attivare i cookie di terze parti per la tua origine prima o senza pubblicare la tua richiesta di pagina, ad esempio se sono richiesti i cookie per una richiesta di immagine tra siti o se intendi creare un iframe con JavaScript, puoi inserire il token nel sito di primo livello utilizzando JavaScript:
const otMeta = document.createElement('meta');
otMeta.httpEquiv = 'origin-trial';
otMeta.content = 'TOKEN_GOES_HERE';
document.head.append(otMeta);
Per consentire questa operazione, devi abilitare l'opzione "Corrispondenza di terze parti" nella registrazione della prova di ritiro, poiché stai inserendo il token per la tua origine (la terza parte) in un sito diverso.
Un token con la corrispondenza di terze parti abilitata può essere inserito su qualsiasi origine, inclusa la tua, e funzionerà.
La prova permanente sarà comunque disattivata se un iframe viene caricato senza il token di prova. Devi fornire in modo coerente il token della prova su tutti gli iframe caricati, anche se la prova è stata attivata con un caricamento originale di uno script di terze parti.
Convalidare il token
Apri DevTools e vai alla scheda Applicazione. Espandi l'albero dei frame nel menu di navigazione a sinistra. Se selezioni un frame, verrà visualizzata una sezione Prove dell'origine se sono stati forniti token. Se inserisci il token nel sito di primo livello, lo troverai nella voce "in alto". Altrimenti devi selezionare il frame corrispondente alla pagina incorporata.
Nella sezione Prove dell'origine, se hai fornito un token, dovresti vedere la voce "Tpcd". Se la funzionalità è stata abilitata correttamente, verrà visualizzato lo stato verde "Attivata". In caso contrario, visualizzerai uno stato di errore rosso e potrai espandere la voce per visualizzare il problema.
È sufficiente un solo token valido per attivare la prova relativa al ritiro. Se hai effettuato la registrazione per la corrispondenza sia proprietaria che di terze parti, non è un problema se forni entrambi i token all'interno della pagina. Ad esempio, se hai una singola pagina che potrebbe essere incorporata in diversi modi, non è necessario scegliere dinamicamente un token, puoi semplicemente fornire entrambi e la prova verrà abilitata in entrambi i contesti.
Quali cookie sono abilitati?
La prova relativa al ritiro attiva solo i cookie di terze parti per l'origine registrata per la prova. Dopo l'attivazione, i cookie di terze parti saranno presenti
nelle richieste di iframe e sottorisorse inviate a quell'origine. Saranno disponibili anche i cookie di terze parti con document.cookie
negli iframe con quella origine.
Gli attributi del cookie Domain
non vengono considerati qui. Viene presa in considerazione solo l'origine
dell'URL della richiesta. Quando si stabilisce che una richiesta dispone dei cookie di terze parti, tutti questi cookie vengono associati normalmente, anche se il dominio di un cookie è più permissivo.
Ad esempio, se https://one.test.example
è registrato e il relativo token viene fornito in un iframe https://one.test.example
:
https://one.test.example/image.jpg
riceverà i cookie impostati dahttps://one.test.example
https://one.test.example/image.jpg
riceverà cookie impostati da altre origini conDomain=.test.example
- Le richieste
https://test.example/image.jpg
ohttps://two.test.example/image.jpg
non riceveranno cookie di terze parti perché non hanno la stessa origine.
Quali cookie vengono attivati quando la corrispondenza del sottodominio è abilitata?
L'opzione "corrisponde a tutti i sottodomini" consente di utilizzare un singolo token nell'origine della registrazione o in qualsiasi origine con un sottodominio più specifico. È possibile utilizzare un token per
https://test.example
con corrispondenza di sottodomini per attivare la prova
con caricamenti di iframe https://test.example
, https://one.test.example
o
https//two.test.example
e di script di terze parti.
Inoltre, quando la corrispondenza dei sottodomini è abilitata, i cookie di terze parti saranno disponibili anche sulle richieste e negli iframe associati ai sottodomini corrispondenti. Ad esempio, se https://test.example
utilizza la corrispondenza dei sottodomini, le richieste di sottorisorse come https://cdn.one.test.example/image.jpg
riceveranno i cookie di terze parti.
La disattivazione della prova non prende in considerazione la corrispondenza del sottodominio. Per disattivare la prova, deve essere caricato senza token un iframe che corrisponde esattamente all'origine nella registrazione. Di conseguenza, una registrazione di https://test.example
con corrispondenza dei sottodomini può essere disabilitata solo da un iframe https://test.example
senza un token. La situazione potrebbe cambiare in futuro, quindi ti consigliamo di fornire un token su tutti gli iframe dei frame secondari quando vuoi attivare la prova e rimuovere i token da tutti gli iframe quando vuoi disattivare la prova.
Risoluzione dei problemi relativi al token di prova
La risoluzione dei problemi relativi alle prove dell'origine di Chrome fornisce un elenco di controllo completo per aiutarti a eseguire il debug della registrazione e del deployment dei token di prova.
Durante la prova si possono verificare alcuni problemi frequenti:
- Se è selezionata l'opzione "Ho bisogno di un token per corrispondere a tutti i sottodomini dell'origine", il token fornito corrisponderà al dominio registrato e ai domini al di sotto. Ad esempio: registra
https://example.com
in modo che corrisponda aexample.com
,www.example.com
,foo.example.com
ebar.foo.example.com
. Se registrihttps://www.example.com
, il tuo token corrisponderà awww.example.com
efoo.www.example.com
, ma non afoo.example.com
. - I siti o i servizi di terze parti incorporati nel sito web devono registrarsi personalmente alla prova. Non devi fare richiesta per un dominio di cui non detieni il controllo o che non possiedi.
- Se commetti un errore nella registrazione alla prova dell'origine, devi effettuare una nuova registrazione per correggere gli errori e ricevere un nuovo token.
Domande frequenti
- Che cosa succede se ho domande sull'elenco Disconnect.me?
- Contatta Disconnetti all'indirizzo support@disconnect.me perché non gestiamo l'elenco Disconnessioni. Per ulteriori informazioni, consulta la pagina sulla protezione del tracker.
- Posso registrarmi per la prova relativa al ritiro se il mio dominio viene utilizzato sia per scopi pubblicitari che non pubblicitari?
- Gli incorporamenti e i servizi di terze parti utilizzati a scopi pubblicitari non sono idonei per la prova relativa al ritiro, per i motivi spiegati in precedenza in questo blog. Sono inclusi i domini correlati alla pubblicità che vengono utilizzati anche per scopi non pubblicitari. Per ulteriori informazioni, consulta la sezione Criteri di idoneità e procedura di revisione.
- I siti potranno vedere quali partner si sono registrati alla prova relativa al ritiro? Sarà in grado di limitare la registrazione tra i partner?
- Sì, i siti possono vedere quali incorporamenti e servizi si basano su un token di prova relativo al ritiro, visualizzando le informazioni sul token nel riquadro dell'applicazione Chrome DevTools. Per ulteriori informazioni, consulta Risolvere i problemi relativi alle prove dell'origine di Chrome.
- I siti di primo livello non potranno limitare la registrazione tra i partner o gli incorporamenti e i servizi sulle loro pagine. Se vuoi, contatta il partner.
- In che modo questa prova si differenzia da altre prove come la prova dell'origine della riduzione dello user agent?
- La differenza principale in questa prova di ritiro è il nuovo processo di registrazione che prevede il rispetto dei criteri di partecipazione e la nuova UI/nuova pagina nella console della prova dell'origine.
- La seconda differenza consiste nel fatto che la risoluzione del numero massimo di problemi di compatibilità web su una serie di siti/client di servizi è esclusivamente per i siti incorporati di terze parti.
- Ci sarà una prova relativa al ritiro dei cookie proprietari per il ritiro dei cookie di terze parti a cui i siti di primo livello possono registrarsi per attivare i 3PC per il loro intero sito?
- Al momento ci stiamo concentrando su incorporamenti e servizi di terze parti. Consigliamo ai siti proprietari di continuare a apportare modifiche dirette ai propri siti per correggere il problema e incoraggiare le terze parti incorporate a registrarsi per questa prova di ritiro.
- Quanto tempo occorre per esaminare la mia richiesta di partecipazione alla prova relativa al ritiro? Dove posso controllare lo stato della mia domanda?
- I tempi di risposta possono variare. Ti consigliamo di avviare la procedura di registrazione il prima possibile, per assicurarti di essere pronto prima del ritiro dell'1% dei cookie di terze parti nel primo trimestre. Se non hai ricevuto risposta entro 1-2 settimane dall'invio della registrazione, contatta 3pcd-deprecationtrial@google.com.
- Thread di bug per la conversazione aperta, lo stato della decisione e la motivazione.
- La registrazione alla prova relativa al ritiro è stata approvata e, come consigliato, abbiamo eseguito il deployment di un token di prova. Tuttavia, la prova relativa al ritiro non funziona come previsto. Cosa dovremmo fare?
- Risoluzione dei problemi relativi alle prove dell'origine di Chrome fornisce un elenco di controllo per la risoluzione dei problemi relativi alle prove dell'origine. In particolare, per questa prova relativa al ritiro, assicurati di aver effettuato la registrazione per l'origine corretta, di aver scelto un token di terze parti se necessario e di aver fornito correttamente il token in un'intestazione HTTP, un meta tag o (per un token di terze parti) utilizzando JavaScript. Puoi scoprire di più sulle prove dell'origine di terze parti nella pagina relativa alle prove dell'origine di terze parti. Inoltre, puoi trovare una demo della prova del ritiro alla pagina Demo della prova dell'origine di Chrome: token inserito da script di terze parti. Se i problemi persistono, contatta origin-trials-support@google.com.