Проведите аудит использования файлов cookie



Проверьте, используются ли сторонние файлы cookie на вашем веб-сайте или сторонними службами, от которых зависит ваш сайт.

Понимание использования сторонних файлов cookie

Файлы cookie, отправляемые в межсайтовом контексте, таком как iframe или запросы подресурсов, обычно называются сторонними файлами cookie, даже если они исходят не от третьей стороны. Сторонние файлы cookie могут исходить от третьей стороны, например, от аналитической службы или рекламной технологии, но они также могут исходить от вашего сайта или собственной службы, домен которой отличается от домена страницы верхнего уровня, например сервера изображений. или микросайт.

Варианты использования сторонних файлов cookie включают:

  • Встроенный контент, опубликованный с других сайтов, например видео, карты, примеры кода и публикации в социальных сетях.
  • Виджеты для внешних сервисов, таких как платежи, календари, бронирование и бронирование.
  • Виджеты, такие как кнопки социальных сетей или службы по борьбе с мошенничеством.
  • Удаленные ресурсы <img> или <script> , которые используют файлы cookie, отправляемые вместе с запросом (обычно используются для отслеживания пикселей и персонализации контента).
Диаграмма, показывающая сторонний файл cookie.
Пример стороннего файла cookie.

В 2019 году браузеры изменили поведение файлов cookie, по умолчанию ограничив доступ к файлам файлов первой стороны . Любые файлы cookie, используемые сегодня в межсайтовом контексте, должны быть установлены с атрибутом SameSite=None .

Set-Cookie: cookie-name=value; SameSite=None; Secure

Это означает, что сторонние файлы cookie можно идентифицировать по атрибуту SameSite=None .

Проведите аудит использования сторонних файлов cookie

Вам следует поискать в своем коде случаи, когда вы установили для атрибута cookie SameSite значение None . Если вы ранее вносили изменения, добавляя SameSite=None в свои файлы cookie примерно в 2020 году, эти изменения могут стать хорошей отправной точкой.

Если вы обнаружите файлы cookie с пометкой SameSite=None , которые, похоже, не используются в межсайтовом контексте, проверьте, сделано ли это намеренно, поскольку они могут использоваться в межсайтовом контексте где-то еще. В противном случае SameSite=None мог быть установлен случайно, и вам следует удалить ненужное использование SameSite=None .

Разделенные файлы cookie , установленные с помощью атрибута Partitioned , будут продолжать доставляться, даже если сторонние файлы cookie ограничены в браузерах, поддерживающих этот атрибут .

Инструменты разработчика Chrome

На панели «Сеть Chrome DevTools» отображаются файлы cookie, установленные и отправленные по запросам. На панели приложения вы можете увидеть заголовок «Файлы cookie» в разделе «Хранилище». Вы можете просматривать файлы cookie, сохраненные для каждого сайта, к которому осуществляется доступ, в рамках загрузки страницы. Вы можете выполнить сортировку по столбцу SameSite , чтобы сгруппировать все файлы cookie None .

Вкладка «Проблемы DevTools» с предупреждением о файлах cookie SameSite=None.
Вкладка «Проблемы DevTools»

В Chrome 118 на вкладке «Проблемы DevTools» отображается проблема с критическими изменениями: «Файлы cookie, отправленные в межсайтовом контексте, будут заблокированы в будущих версиях Chrome». В проблеме перечислены потенциально затронутые файлы cookie для текущей страницы.

Инструмент анализа конфиденциальности в песочнице

Мы также создали инструмент анализа конфиденциальной среды (PSAT) — расширение DevTools, облегчающее анализ использования файлов cookie во время сеансов просмотра. Это обеспечивает пути отладки файлов cookie и функций Privacy Sandbox, а также точки доступа для получения дополнительной информации об инициативе Privacy Sandbox.

Снимок экрана инструмента анализа песочницы конфиденциальности (PSAT), показывающий количество и типы файлов cookie, используемых в модальном окне, а также список файлов cookie, лежащих в их основе, с указанием причины их блокировки.
Инструмент анализа конфиденциальной среды (PSAT)

Расширение дополняет DevTools специализированными возможностями для анализа и отладки сценариев, связанных с использованием сторонних файлов cookie, а также внедрением новых альтернатив, сохраняющих конфиденциальность .

Вы можете загрузить расширение из Интернет-магазина Chrome или получить доступ к репозиторию PSAT и вики .

Обратитесь к сторонним поставщикам услуг.

Если вы обнаружите файлы cookie, установленные третьими лицами, вам следует уточнить у этих поставщиков, планируют ли они отказаться от установки межсайтовых файлов cookie. Возможно, вам придется обновить версию используемой вами библиотеки, изменить параметр конфигурации в службе или не предпринимать никаких действий, если третья сторона сама вносит необходимые изменения.

Улучшите свои собственные файлы cookie

Если ваш файл cookie никогда не используется на стороннем сайте, например, если вы установили файл cookie для управления сеансом на своем сайте и он никогда не используется в межсайтовом iframe, вам следует явно пометить файл cookie как SameSite=Lax или SameSite=Strict . Существует ряд других разумных значений по умолчанию, которые можно использовать для основных файлов cookie. Для получения более подробной информации ознакомьтесь с рецептами основных файлов cookie .