Cookie pihak ketiga memiliki banyak penggunaan, tetapi juga merupakan pengaktif utama pelacakan lintas situs.
Chrome mengusulkan pengalaman baru untuk pilihan pengguna dengan cookie pihak ketiga. Anda harus menyiapkan situs untuk pengguna yang memilih menjelajah tanpa cookie pihak ketiga.
Di halaman ini, Anda akan menemukan informasi tentang solusi yang menjaga privasi untuk skenario tersemat yang biasanya mengandalkan cookie pihak ketiga, dan strategi untuk membantu Anda memilih solusi yang paling sesuai dengan kebutuhan Anda.
Layanan tersemat, atau sematan, mencakup konten pihak ketiga (seperti video, peta), komponen interaktif (seperti chat, sistem komentar, atau layanan pembayaran), layanan login, dan lainnya.
Sebagian besar upaya untuk bertransisi dari cookie pihak ketiga harus dilakukan oleh developer sematan, bukan situs yang menghosting sematan. Panduan ini terutama akan membahas solusi untuk developer yang membuat layanan tersemat.
Jika situs Anda mengandalkan sematan yang menggunakan cookie pihak ketiga, pastikan untuk mengaudit dan menguji proses penautan yang Anda lakukan, lalu hubungi penyedia sematan jika menemukan kerusakan.
Mengaudit dan menguji perjalanan pengguna terkait sematan
Cara terbaik untuk menentukan apakah sematan Anda terpengaruh oleh cookie pihak ketiga adalah dengan menguji alur penggunaan penyematan pihak ketiga Anda dengan mengaktifkan tanda pengujian cookie pihak ketiga.
Setelah Anda membatasi cookie pihak ketiga, uji skenario penyematan umum berikut:
- Widget Chat: Dapatkah Anda memulai sesi chat? Dapatkah Anda menyegarkan halaman tanpa kehilangan sesi? Bisakah Anda membuka halaman lain dan mempertahankan sesi Anda?
- Penyematan konten: Dapatkah Anda melihat konten video atau konten yang disematkan lainnya? Apakah preferensi pengguna, seperti bahasa atau subtitel, dipertahankan? Apakah Anda melihat iklan pada waktu yang seharusnya, misalnya tidak melihatnya sebagai pelanggan premium?
- Login: Apakah login—termasuk login Single Sign-On (SSO)—berfungsi untuk sematan yang mendukungnya? Apakah URL ini dipertahankan saat halaman dimuat ulang dan navigasi ke halaman yang menggunakan sematan yang sama?
- Widget komentar: Dapatkah Anda memberikan, menyukai, dan memberi suara positif pada komentar?
- Solusi pembayaran tersemat: Dapatkah Anda berhasil menyelesaikan pembayaran?
Di bagian berikutnya, Anda akan menemukan informasi yang lebih spesifik tentang pengaruhnya terhadap alur tersebut.
Kasus penggunaan umum
Ada sejumlah API yang dapat digunakan untuk sematan yang biasanya mengandalkan cookie pihak ketiga. Tabel berikut mencantumkan beberapa alur kerja umum dan API yang direkomendasikan untuk digunakan sebagai ringkasan tingkat tinggi. Bagian berikut akan menjelaskan alasan rekomendasi ini.
Kasus penggunaan | API yang direkomendasikan untuk penggunaan cookie pihak ketiga |
---|---|
Widget Chat | CHIP |
Penyematan peta | CHIP |
Domain sandbox untuk konten pengguna yang tidak tepercaya (seperti googleusercontent.com dan githubusercontent.com) yang memerlukan cakupan status per penerbit |
CHIP |
Iklan tersemat yang memerlukan cakupan status per penayang | CHIP |
Login melalui penyedia identitas | FedCM |
Embed dihosting di origin yang berbeda, tetapi terkait. | Storage Access API dengan Set Situs Terkait |
Konten disematkan dengan preferensi berbasis login (seperti konten video tanpa iklan, atau preferensi bahasa/subtitel) |
Storage Access API |
Widget komentar media sosial memerlukan login | Storage Access API |
Memilih API yang akan digunakan untuk kasus penggunaan pihak ketiga tersemat
Bagian ini membahas cara memilih API alternatif yang tepat dan menjelaskan API yang direkomendasikan.
Diagram alir berikut membantu memilih dari beberapa opsi yang tersedia:
Diagram alur mengajukan tiga pertanyaan utama dan kami akan melihatnya secara lebih mendetail serta mengapa API tertentu direkomendasikan dalam setiap kasus.
1. Apakah cookie tersebut khusus untuk situs penyematan?
Banyak sematan pihak ketiga yang digunakan secara terpisah pada situs yang sama sekali tidak terkait. Misalnya, widget chat untuk dukungan pelanggan sering kali memerlukan cookie agar dapat berfungsi, tetapi Anda tidak perlu membagikan cookie ini di antara dua organisasi yang sama sekali berbeda yang keduanya menggunakan solusi widget chat yang sama. Bahkan, preferensinya adalah tidak mengizinkan berbagi cookie dalam banyak kasus ini.
Jika Anda menyediakan layanan penyematan pihak ketiga ke situs lain dan layanan tersebut mengandalkan cookie, pertimbangkan apakah cookie tersebut khusus untuk layanan di situs tempat layanan tersebut disematkan. Apakah file tersebut pernah dibagikan oleh instance sematan Anda di situs lain?
Jika cookie tidak perlu dibagikan, maka mempartisi cookie menggunakan CHIPS adalah opsi termudah. API ini mengikat cookie pihak ketiga ke situs tingkat atas, bukan mengizinkan cookie tersebut dibagikan oleh semua situs yang menggunakan sematan pihak ketiga yang sama. CHIPS mudah diterapkan karena hanya memerlukan penambahan atribut Partitioned
tambahan ke cookie yang ada. Hal ini memungkinkan layanan tersemat tetap menyimpan status, tetapi menghapus penyimpanan lintas situs bersama yang akan memungkinkan pelacakan lintas situs.
Situs juga harus memeriksa apakah cookie digunakan untuk alasan yang tepat. Cookie hanya boleh digunakan jika sudah ditetapkan atau perlu dikirim dengan permintaan HTTP. Jika tidak, dan cookie hanya digunakan sebagai opsi penyimpanan yang praktis, maka berbagai API penyimpanan harus dipertimbangkan. Hal ini menyimpan data secara lokal saat tidak perlu dikirim. API penyimpanan sudah dipartisi di semua browser utama, dengan cara yang sama seperti CHIPS mempartisi cookie.
2. Apakah cookie untuk penyedia identitas pihak ketiga?
Salah satu penggunaan umum cookie pihak ketiga dalam sematan adalah untuk memberikan kemampuan login yang dikelola oleh penyedia login pihak ketiga, seperti Login dengan Google. Dalam kasus ini, cookie yang dipartisi bukan merupakan pilihan.
Federated Credential Management (FedCM) adalah API khusus yang dikhususkan untuk kasus penggunaan ini dan berfungsi tanpa cookie pihak ketiga. Jika FedCM didukung oleh penyedia identitas, tindakan ini dapat menghilangkan kebutuhan akan cookie pihak ketiga.
Anda dapat membaca lebih lanjut cara mengatasi efek cookie pihak ketiga pada alur kerja login di panduan identitas.
3. Apakah cookie digunakan di sejumlah kecil situs terkait?
Jika tidak ada opsi sebelumnya yang merupakan pengganti yang sesuai untuk cookie, Anda perlu melihat pengaktifan kembali akses cookie pihak ketiga untuk sematan. Hal ini dapat diaktifkan dalam kasus penggunaan tertentu yang terkontrol dengan Storage Access API. API ini mengaktifkan kembali akses penuh cookie pihak ketiga (tunduk kepada kontrol) sehingga ini adalah opsi yang paling efektif. Oleh karena itu, sebaiknya hindari pendekatan ini jika alternatif yang lebih ketat sudah cukup.
Ada beberapa persyaratan untuk menggunakan Storage Access API:
- Pengguna harus pernah mengunjungi situs sematan sebelumnya di tingkat atas. Misalnya, jika menyematkan sistem komentar, pengguna juga harus mengunjungi situs sistem komentar tersebut.
- Pengguna harus berinteraksi dengan penyematan sebelum cookie dapat dibagikan. Artinya, konten tersemat mungkin tidak dapat dimuat sepenuhnya sebelum interaksi pengguna.
- Pengguna mungkin perlu menyetujui berbagi cookie dengan pop-up browser, terutama pada kasus pertama dan secara berkala setelahnya.
- Situs penyematan mungkin juga perlu menyetel atribut sandbox tambahan.
Pembatasan ini memastikan tindakan canggih untuk mengaktifkan kembali cookie pihak ketiga hanya dilakukan saat pengguna dan situs mengharapkan hal tersebut. Namun, dalam skenario tertentu, tindakan pengguna dapat dilewati. Misalnya, jika pengguna baru saja menyetujui akses, mungkin tidak perlu meminta mereka kembali selama jangka waktu tertentu (seperti yang ditetapkan oleh browser).
Satu skenario lain di mana hal ini kemungkinan diharapkan oleh pengguna adalah untuk situs terkait. Misalnya, beberapa organisasi menggunakan sejumlah origin yang berbeda, yang dianggap sebagai lintas situs oleh browser—sehingga penggunaan cookie di seluruh organisasi tersebut diperlakukan sebagai pihak ketiga. Contohnya mencakup merek dengan situs khusus negara (seperti example.com dan example.co.uk) atau situs khusus merek (seperti example.car dan example.house).
Dalam hal ini, jika ada sejumlah kecil situs terkait, Anda dapat menggunakan Set Situs Terkait. Situs dikirim ke Chrome, agar Chrome tahu bahwa situs tersebut terkait. Hal ini memungkinkan akses ke Storage Access API dengan cara yang lebih mudah digunakan, dengan lebih sedikit perintah pengguna.
Untuk situs tidak terkait yang sebenarnya merupakan pihak ketiga, dan yang memerlukan akses penuh cookie pihak ketiga karena API alternatif tidak memadai, penggunaan Storage Access API akan tunduk kepada persyaratan dan perintah lengkap.
Perbandingan berbagai API
Setiap solusi memiliki karakteristik dan batasan yang sedikit berbeda yang menjadikannya pilihan yang lebih baik untuk kasus penggunaan tertentu. Tabel berikut merangkum perbedaan utama:
CHIP | Penyimpanan Berpartisi | FedCM | Storage Access API dengan Set WebSite Terkait | Storage Access API | |
---|---|---|---|---|---|
Pengguna tidak perlu mengakses pihak yang tersemat sebelumnya sebagai situs tingkat atas | |||||
Tidak memerlukan permintaan pengguna untuk menyetujui akses | |||||
Tidak mengharuskan pengguna untuk berinteraksi dengan sematan | (Dapat juga berlaku untuk situs yang disematkan dengan akses tingkat atas.) |
||||
Upaya penerapan | Sangat rendah | Rendah | Tinggi | Sedang | Sedang |
Dapat digunakan untuk membagikan cookie di beberapa situs/asal tingkat atas | (Proposal sedang dibahas.) |
||||
Tersedia di browser non-Chromium | (Kembali ke Storage Access API.) |
Mendukung kasus penggunaan di seluruh browser
Kompatibilitas {i>browser<i} adalah salah satu faktor utama ketika memutuskan sebuah solusi, seperti yang telah kita bahas di baris terakhir tabel berikut. Beberapa API (CHIPS, FedCM, Set Situs Web Terkait) hanya tersedia di browser Chromium. Hanya dua solusi lintas browser saat ini adalah API penyimpanan yang dipartisi (jika cookie tidak diperlukan), atau Storage Access API (jika cookie diperlukan).
Namun, seperti disebutkan sebelumnya, Storage Access API memiliki sejumlah batasan yang dapat memengaruhi pengalaman pengguna di situs Anda. Tim Chrome telah bekerja untuk menambahkan API lainnya, yang dirancang untuk memenuhi kasus penggunaan tertentu dan memberikan pengalaman yang serupa dengan apa yang dapat dilakukan dengan cookie pihak ketiga. Oleh karena itu, sebaiknya pertimbangkan opsi terbaik dan memperlakukannya sebagai peningkatan progresif, dengan penggantian ke Storage Access API untuk browser yang tidak mendukung.
Karena cookie dapat diblokir karena beberapa alasan (misalnya, setelan browser, ekstensi), deteksi fitur dukungan API mungkin tidak cukup. Sebagai gantinya, sebaiknya uji apakah cookie yang diharapkan ada, dan jika tidak, kembalilah ke alur kerja Storage Access API untuk meminta akses ke cookie pihak ketiga.
Ambil tindakan sekarang!
Jika sematan pihak ketiga Anda tidak lagi berfungsi tanpa penggunaan cookie pihak ketiga, ada beberapa solusi yang tersedia untuk mengatasi kemungkinan dampak seperti yang dijelaskan dalam diskusi ini. Saatnya untuk mengaudit layanan Anda untuk cookie pihak ketiga sekarang!
Bagi pengguna yang mengalami kerusakan pada sematannya sekarang karena Chrome sedang menguji penghapusan cookie pihak ketiga, ada sejumlah opsi jangka pendek untuk mendapatkan bantuan saat bermigrasi ke alternatif yang dijelaskan dalam postingan ini. Lihat dokumentasi mempertahankan pengalaman penting pengguna untuk informasi selengkapnya.
Jika ada pertanyaan terkait kasus penggunaan sematan pihak ketiga yang tidak tercakup dalam panduan ini, Anda dapat mengajukan masalah baru menggunakan "penghentian cookie pihak ketiga" tag di repositori dukungan developer kami.