Verificar se cookies de terceiros estão sendo usados no seu site ou por terceiros serviços necessários para seu site.
Noções básicas sobre o uso de cookies de terceiros
Cookies enviados em entre sites contextos como iframes ou solicitações de sub-recursos, geralmente são chamados de cookies de terceiros, mesmo que não sejam de terceiros. Cookies de terceiros podem ser de um terceiro, como um serviço de análise ou adtech, mas também podem ser de um site ou serviço próprio com um domínio diferente da página de nível superior, como um servidor de imagem ou um microsite.
Casos de uso de cookies de terceiros:
- Conteúdo incorporado compartilhado de outros sites, como vídeos, mapas, exemplos de código e postagens em redes sociais.
- Widgets para serviços externos, como pagamentos, agendas, agendamentos e reservas.
- Widgets, como botões de redes sociais ou serviços antifraude.
- Recursos remotos
<img>
ou<script>
que dependem de cookies para serem enviados com uma solicitação (comumente usados para pixels de rastreamento e personalização de conteúdo).
Em 2019, os navegadores mudaram o comportamento dos cookies, restringindo os cookies ao acesso primário por padrão.
Todos os cookies usados em contextos entre sites hoje precisam ser definidos com SameSite=None
.
.
Set-Cookie: cookie-name=value; SameSite=None; Secure
Isso significa que os cookies de terceiros podem ser identificados pelo atributo SameSite=None
.
Auditar o uso de cookies de terceiros
Pesquise no código as instâncias em que você definiu o atributo do cookie SameSite
como None
. Se você fez mudanças anteriormente para adicionar SameSite=None
aos seus cookies por volta de 2020, essas mudanças podem ser um bom ponto de partida.
Se você encontrar cookies marcados como SameSite=None
que não parecem ser usados em um contexto entre sites, verifique se isso foi intencional, porque eles podem ser usados em um contexto entre sites em outro lugar. Caso contrário, SameSite=None
pode ter sido definido acidentalmente, e você precisará remover qualquer uso desnecessário de SameSite=None
.
Os cookies particionados, ou seja, aqueles definidos com o atributo Partitioned
, vão continuar sendo exibidos mesmo quando os cookies de terceiros forem restritos em navegadores compatíveis com esse atributo.
Chrome DevTools
O painel Network do Chrome DevTools mostra os cookies definidos e enviados de acordo com as solicitações. No painel "Application", você verá o título "Cookies" em "Armazenamento". Você pode navegar pelos cookies armazenados para cada site acessado como parte do carregamento da página. É possível classificar pela coluna SameSite
para agrupar todos os cookies None
.
No Chrome 118, a guia "Problemas do DevTools" mostra o problema de alteração interruptiva "O cookie enviado em um contexto entre sites será bloqueado em versões futuras do Chrome". O problema lista os cookies potencialmente afetados da página atual.
Ferramenta de análise de dados do Sandbox de privacidade
Também criamos a Ferramenta de análise de dados do Sandbox de privacidade (PSAT, na sigla em inglês), uma extensão do DevTools para facilitar a análise do uso de cookies durante as sessões de navegação. Isso fornece caminhos de depuração para cookies e recursos do Sandbox de privacidade, com pontos de acesso para saber mais sobre a iniciativa do Sandbox de privacidade.
A extensão complementa o DevTools com recursos especializados para analisar e depurar cenários relacionados ao uso de cookies de terceiros e a adoção de novas alternativas que preservam a privacidade.
Você pode fazer o download da extensão na Chrome Web Store ou acessar o repositório e o wiki PSAT.
Entre em contato com seus provedores de serviços terceirizados
Se você identificar cookies definidos por terceiros, verifique com esses provedores se eles planejam deixar de definir cookies entre sites. Talvez seja necessário fazer upgrade da versão de uma biblioteca que você está usando, mudar uma opção de configuração no serviço ou não fazer nada se o terceiro estiver fazendo as mudanças necessárias.
Melhorar os cookies primários
Se o cookie nunca for usado em um site de terceiros, por exemplo, se você definir um cookie para gerenciar a sessão no site e ele nunca for usado em um iframe entre sites, marque-o explicitamente como SameSite=Lax
ou SameSite=Strict
. Há vários outros padrões razoáveis que podem ser usados para cookies primários. Para mais detalhes, confira Receitas de cookies primários.