Cookie di terze parti e flussi di lavoro incorporati

I cookie di terze parti hanno molti utilizzi, ma sono anche un fattore chiave del monitoraggio tra siti.

Chrome propone una nuova esperienza di scelta dell'utente con i cookie di terze parti. Devi preparare il sito per gli utenti che scelgono di navigare senza cookie di terze parti.

In questa pagina troverai informazioni sulle soluzioni incentrate sulla tutela della privacy per scenari incorporati che tradizionalmente si basano su cookie di terze parti, nonché sulle strategie che ti aiuteranno a scegliere la soluzione più adatta alle tue esigenze.

I servizi incorporati, o incorporamenti, includono contenuti di terze parti (ad esempio video, mappe), componenti interattivi (ad esempio chat, sistemi per i commenti o servizi di pagamento), servizi di accesso e altro ancora.

La maggior parte del lavoro per la transizione dai cookie di terze parti deve essere svolto da sviluppatori di incorporamenti, anziché da siti che ospitano incorporamenti. Questa guida illustra principalmente le soluzioni per gli sviluppatori che creano servizi incorporati.

Se il tuo sito si basa su un incorporamento che utilizza cookie di terze parti, assicurati di controllare e testare i percorsi relativi all'incorporamento e, in caso di malfunzionamenti, rivolgiti ai fornitori di incorporamento.

Controllare e testare i percorsi degli utenti correlati all'incorporamento

Il modo migliore per determinare se i tuoi incorporamenti sono interessati da cookie di terze parti è testare i flussi utente incorporati di terze parti con il flag di test dei cookie di terze parti attivato.

Dopo aver limitato i cookie di terze parti, prova questi scenari di incorporamento comuni:

  • Widget di chat: puoi avviare una sessione di chat? Puoi aggiornare la pagina senza perdere la sessione? Riesci a passare ad altre pagine e a mantenere la sessione?
  • Incorporamenti di contenuti: è possibile visualizzare contenuti video o altri contenuti incorporati? Le preferenze dell'utente, come la lingua o i sottotitoli, vengono mantenute? Vedi gli annunci quando previsto, ad esempio non li vedi come abbonati Premium?
  • Accesso: gli accessi, compresi gli accessi Single Sign-On (SSO), funzionano per gli incorporamenti che li supportano? Vengono resi persistenti tramite il ricaricamento delle pagine e la navigazione verso pagine che utilizzano gli stessi incorporamenti?
  • Widget per i commenti: puoi lasciare un commento, mettere Mi piace o dare un voto positivo?
  • Soluzioni di pagamento incorporate: riesci a completare i pagamenti?

Nelle sezioni successive, troverai informazioni più specifiche sui possibili effetti su questi flussi.

Casi d'uso comuni

Esistono diverse API che possono essere utilizzate per gli incorporamenti che tradizionalmente si basano su cookie di terze parti. La tabella seguente elenca alcuni flussi di lavoro comuni e le API consigliate da utilizzare come riepilogo generale. Le seguenti sezioni spiegano il ragionamento alla base di questi consigli.

Caso d'uso API consigliata per l'utilizzo dei cookie di terze parti
Widget Chat CHIP
Incorporamenti della mappa CHIP
Domini sandbox per contenuti utente non attendibili
(ad esempio googleusercontent.com e githubusercontent.com) che richiedono un ambito di stato per publisher
CHIP
Annunci incorporati che richiedono un ambito di stato per publisher CHIP
Accedi tramite un provider di identità FedCM
Incorporamento ospitato su origini diverse ma correlate. API Storage Access con insiemi di siti web correlati
Contenuti incorporati con preferenze basate sull'accesso
(ad esempio contenuti video senza annunci o preferenze per lingua/sottotitoli)
API Storage Access
Widget per i commenti sui social media che richiede l'accesso API Storage Access
API alternative consigliate per casi d'uso comuni

Scegliere l'API da utilizzare per i casi d'uso incorporati di terze parti

Questa sezione illustra come scegliere un'API alternativa appropriata e spiega le API consigliate.

Il seguente diagramma di flusso aiuta a scegliere tra le opzioni disponibili:

Diagramma di flusso delle opzioni per scegliere un'alternativa ai cookie di terze parti in base a tre domande.
Decidere quale API utilizzare per gli incorporamenti di cookie di terze parti

Il diagramma di flusso pone tre domande principali, che esamineremo più in dettaglio e spiegheremo perché una determinata API è consigliata in ciascun caso.

1. I cookie sono specifici per il sito di incorporamento?

Molti incorporamenti di terze parti vengono utilizzati in modo indipendente su siti completamente non correlati. Ad esempio, i widget di chat per l'assistenza clienti spesso richiedono i cookie per funzionare, ma non è necessario condividerli tra due organizzazioni completamente diverse che utilizzano entrambe la stessa soluzione widget per la chat. Infatti, in molti di questi casi la preferenza sarebbe neppure consentire la condivisione dei cookie.

Se fornisci un servizio di incorporamento di terze parti ad altri siti e questo si basa sui cookie, valuta se questi cookie sono specifici del servizio sul sito in cui è incorporato. Vengono mai condivisi da istanze di elementi incorporati su altri siti?

Se non è necessario condividere i cookie, il partizionamento dei cookie utilizzando CHIPS è l'opzione più semplice. Questa API collega i cookie di terze parti al sito di primo livello, anziché consentirne la condivisione da parte di tutti i siti che utilizzano lo stesso incorporamento di terze parti. I CHIPS sono facili da implementare poiché richiedono solo l'aggiunta di un attributo Partitioned aggiuntivo ai cookie esistenti. In questo modo i servizi incorporati possono comunque salvare lo stato, ma viene rimosso lo spazio di archiviazione tra siti condiviso che consentirebbe il monitoraggio tra siti.

I siti dovrebbero anche controllare se i cookie vengono utilizzati per i motivi giusti. I cookie devono essere usati solo quando sono impostati o devono essere inviati con richieste HTTP. In caso contrario e i cookie vengono utilizzati solo come comoda opzione di archiviazione, è necessario prendere in considerazione le varie API di archiviazione. In questo modo i dati vengono conservati in locale quando non devono essere inviati. Le API Storage sono già partizionate in tutti i principali browser, in modo simile a come CHIPS suddivide i cookie.

2. I cookie sono per un provider di identità di terze parti?

Un uso comune dei cookie di terze parti negli incorporamenti è quello di fornire funzionalità di accesso gestite da un provider di accesso di terze parti, come Accedi con Google. In questo caso, i cookie partizionati non sono un'opzione.

Federated Credential Management (FedCM) è un'API dedicata appositamente per questo caso d'uso e funziona senza cookie di terze parti. Se il provider di identità supporta FedCM, questo potrebbe eliminare la necessità di cookie di terze parti.

Per ulteriori informazioni su come affrontare gli effetti dei cookie di terze parti sui flussi di lavoro di accesso, consulta la guida all'identità.

Se nessuna delle opzioni precedenti rappresenta un'alternativa valida per i cookie, devi prendere in considerazione la possibilità di riattivare l'accesso ai cookie di terze parti per l'incorporamento. Questa opzione può essere abilitata in casi d'uso specifici e controllati con l'API Storage Access. Questa API riattiva l'accesso completo ai cookie di terze parti (soggetto a controlli), pertanto è l'opzione più potente. Per questo motivo si consiglia di evitarlo nel caso in cui sia sufficiente un'alternativa più restrittiva.

Per l'utilizzo dell'API Storage Access sono previsti alcuni requisiti:

  • L'utente deve aver visitato in precedenza il sito dell'incorporamento a livello superiore. Ad esempio, se incorpori un sistema di commenti, l'utente deve visitare anche il relativo sito.
  • L'utente deve interagire con l'incorporamento prima che i cookie possano essere condivisi. Ciò significa che potrebbe non essere possibile caricare tutti i contenuti incorporati prima dell'interazione dell'utente.
  • L'utente potrebbe dover approvare la condivisione dei cookie con un pop-up del browser, in particolare alla prima istanza e, in seguito, periodicamente.
  • Il sito di incorporamento potrebbe anche dover impostare attributi sandbox aggiuntivi.

Queste restrizioni assicurano che la riattivazione dei cookie di terze parti avvenga solo quando l'utente e il sito si aspettano che ciò avvenga. Tuttavia, in alcuni scenari, le azioni dell'utente potrebbero essere ignorate. Ad esempio, se l'utente ha approvato di recente l'accesso, potrebbe non essere necessario richiederlo nuovamente per un determinato periodo di tempo (come definito dal browser).

Un altro scenario in cui è probabile che questo si verifichi per i siti correlati. Ad esempio, alcune organizzazioni utilizzano una serie di origini diverse, che sono considerate come cross-site dal browser, e quindi l'uso dei cookie tra di loro viene considerato come di terze parti. Alcuni esempi sono i brand con siti specifici per paese (come example.com ed example.co.uk) o siti web specifici per i brand (come example.car e example.house).

In questo caso, se è presente un numero ridotto di siti web correlati, puoi utilizzare gli insiemi di siti web correlati. I siti vengono inviati a Chrome in modo che Chrome sappia che sono correlati. Ciò consente di accedere all'API Storage Access in modo più facile da usare e con meno prompt all'utente.

Per i siti web non correlati che sono in realtà di terze parti e dove è necessario l'accesso completo ai cookie di terze parti perché le API alternative non sono sufficienti, l'utilizzo dell'API Storage Access sarà soggetto a requisiti e prompt completi.

Confronto tra le varie API

Ognuna delle soluzioni ha caratteristiche e limitazioni leggermente diverse che le rendono una scelta migliore per determinati casi d'uso. La seguente tabella riassume le principali differenze:

CHIP Spazio di archiviazione partizionato FedCM API Storage Access con insiemi di siti web correlati API Storage Access
Non è necessario che l'utente abbia già effettuato l'accesso alla parte incorporata come sito di primo livello
Non richiede all'utente di approvare l'accesso
Non richiede all'utente di interagire con gli incorporamenti
Questo vale anche per i siti incorporati con accesso di primo livello.
Impegno di implementazione Molto Basso Bassa Alta Medio Medio
Può essere utilizzato per condividere i cookie tra più siti/origini di primo livello
(Proposta in discussione.)
Disponibile sui browser non Chromium
(ritorna all'API Storage Access).
Comportamenti, livello di impegno richiesto e disponibilità di API chiave per casi d'uso incorporati

Supportare casi d'uso su più browser

La compatibilità del browser è uno dei fattori principali quando si deve scegliere una soluzione, come illustrato nell'ultima riga della tabella. Alcune API (CHIPS, FedCM, insiemi di siti web correlati) sono disponibili solo sui browser Chromium. Al momento le uniche due soluzioni cross-browser sono le API di archiviazione partizionate (quando i cookie non sono richiesti) o l'API Storage Access (quando i cookie sono richiesti).

Tuttavia, come indicato in precedenza, l'API Storage Access prevede una serie di limitazioni che possono influire sull'esperienza utente sul tuo sito web. Il team di Chrome ha lavorato per aggiungere le altre API, che sono progettate per soddisfare casi d'uso specifici e offrire un'esperienza simile a quella che è stata possibile con i cookie di terze parti. Pertanto, è consigliabile considerare quali sono le opzioni migliori e considerarle come miglioramenti progressivi, con un fallback all'API Storage Access per i browser non supportati.

Poiché i cookie possono essere bloccati per una serie di motivi (ad esempio, impostazioni del browser ed estensioni), il rilevamento delle funzionalità del supporto dell'API potrebbe non essere sufficiente. È invece meglio verificare l'esistenza dei cookie previsti e, in caso contrario, ricorrere al flusso di lavoro dell'API Storage Access per richiedere l'accesso ai cookie di terze parti.

Intervieni subito.

Se l'incorporamento di terze parti non funziona più senza l'uso di cookie di terze parti, sono disponibili diverse soluzioni che aggirano il possibile impatto, come descritto in questa presentazione. È il momento di controllare i cookie di terze parti del tuo servizio ora.

Per coloro che riscontrano malfunzionamenti con gli incorporamenti ora, in quanto Chrome sta testando la rimozione dei cookie di terze parti, sono disponibili una serie di opzioni a breve termine che possono essere d'aiuto durante la migrazione alle alternative descritte in questo post. Per saperne di più, consulta la documentazione sulla preservazione delle esperienze utente critiche.

Se hai domande su casi d'uso per l'incorporamento di terze parti non trattati in questa guida, puoi segnalare un nuovo problema utilizzando il "ritiro dei cookie di terze parti" tag nel nostro repository di assistenza per gli sviluppatori.