דף זה תורגם על ידי Cloud Translation API.

מתכוננים לסיום של קובצי cookie של צדדים שלישיים
קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

אם האתר שלכם משתמש בקובצי cookie של צד שלישי, הגיע הזמן לפעול לקראת ההוצאה משימוש שלהם. כדי לאפשר את הבדיקה, החל מ-4 בינואר 2024, קובצי ה-Cookie של צד שלישי הוגבלו ב-Chrome ל-1% מהמשתמשים. החל מרבעון שלישי של 2024, אנחנו מתכננים להרחיב את ההגבלות על קובצי Cookie של צד שלישי ל-100% מהמשתמשים ב-Chrome, בכפוף לפתרון של כל הבעיות הנותרות שקשורות לתחרות, כפי שנקבע על ידי רשות התחרות והשווקים (Competition and Markets Authority) בבריטניה.

המטרה שלנו בארגז החול לפרטיות היא לצמצם את המעקב באתרים שונים, תוך שמירה על הפונקציונליות שמאפשרת לכולם לגשת לתוכן ולשירותים באינטרנט בחינם. ההוצאה משימוש וההסרה של קובצי Cookie של צד שלישי ממחישות את האתגר, כי הם מאפשרים פונקציונליות קריטית בכניסה לחשבון, בהגנה מפני הונאות, בפרסום ובאופן כללי ביכולת להטמיע תוכן עשיר של צד שלישי באתרים שלכם – אבל הם גם הגורמים העיקריים שמאפשרים מעקב בכמה אתרים.

בשלב המשמעותי הקודם שלנו, השקנו מגוון ממשקי API שמספקים חלופה שמתמקדת בפרטיות לסטטוס קוו הנוכחי בתרחישי שימוש כמו זיהוי, פרסום וזיהוי הונאות. עכשיו, כשיש לנו חלופות, אנחנו יכולים להתחיל להוציא משימוש בהדרגה קובצי cookie של צד שלישי.

בסדרת הכתבות הזו בנושא 'ספירת הימים לקובצי cookie', נסביר על ציר הזמן ועל הפעולות המיידיות שאפשר לבצע כדי לוודא שהאתרים שלכם מוכנים.

הוצאה משימוש של 1% מקובצי ה-Cookie של צד שלישי ובדיקות שמתבצעות באמצעות Chrome

בציר הזמן של privacysandbox.com אפשר לראות שני ציוני דרך ברבעון הרביעי של שנת 2023 וברבעון הראשון של שנת 2024, כחלק ממצבי הבדיקה שמתבצעים באמצעות Chrome. הבדיקה הזו מיועדת בעיקר לארגונים שבודקים את ממשקי ה-API של ארגז החול לפרטיות למדידת ביצועים ולקביעת רלוונטיות, אבל במסגרת הבדיקה הזו נשבית את קובצי ה-cookie של צד שלישי אצל 1% ממשתמשי Chrome Stable.

כלומר, החל מתחילת שנת 2024, צפוי להיות גידול בחלק מהמשתמשים באתר שלכם שמשתמשים ב-Chrome עם קובצי cookie של צד שלישי מושבתים, גם אם אתם לא משתתפים באופן פעיל בבדיקה שמתבצעת באמצעות Chrome. תקופת הבדיקות הזו תמשיך גם ברבעון השלישי של 2024. במועד הזה, לאחר התייעצות עם CMA ובהתאם לפתרון בעיות כלשהן שנוגעות לתחרות, אנחנו מתכננים להתחיל תהליך השבתה של קובצי Cookie של צדדים שלישיים לכל משתמשי Chrome.

הכנה להוצאה משימוש בהדרגה של קובצי Cookie של צד שלישי

כדי לוודא שהאתר שלכם יהיה מוכן לפעול ללא קובצי Cookie של צד שלישי, פירטנו את התהליך בשלבים העיקריים הבאים:

בודקים את השימוש בקובצי Cookie של צד שלישי.
בודקים אם יש שגיאות.
בקובצי cookie בכמה אתרים שמאחסנים נתונים לפי אתר, כמו הטמעה, כדאי להשתמש ב-Partitioned עם CHIPS.
אם אתם רוצים להשתמש בקובצי cookie בכמה אתרים בקבוצה קטנה של אתרים מקושרים באופן משמעותי, כדאי להשתמש בקבוצות של אתרים קשורים.
בתרחישי שימוש אחרים בקובצי Cookie של צד שלישי, צריך לעבור לממשקי ה-API הרלוונטיים לאינטרנט.

1. בדיקת השימוש בקובצי Cookie של צד שלישי

אפשר לזהות קובצי cookie של צד שלישי לפי הערך שלהם ב-SameSite=None. צריך לחפש בקוד מקרים שבהם הגדרתם את המאפיין SameSite לערך הזה. אם ביצעת בעבר שינויים כדי להוסיף את SameSite=None לקובצי ה-cookie בסביבות שנת 2020, יכול להיות שהשינויים האלה יהוו נקודת התחלה טובה.

כלי פיתוח ל-Chrome

בחלונית 'רשת' בכלי הפיתוח של Chrome מוצגים קובצי cookie שהוגדרו ונשלחו בבקשות. בחלונית 'אפליקציה', הכותרת 'קובצי Cookie' מופיעה בקטע 'אחסון'. אפשר לעיין בקובצי ה-cookie שנשמרו לכל אתר שאליו ניגשת במהלך טעינת הדף. אפשר למיין לפי העמודה SameSite כדי לקבץ את כל קובצי ה-cookie מסוג None.

הכרטיסייה 'בעיות' ב-DevTools שבה מוצגת אזהרה לגבי קובצי cookie מסוג SameSite=None.

החל מגרסה 118 של Chrome, בכרטיסייה 'בעיות' בכלי הפיתוח מוצגת הבעיה של שינוי התוכנה שעלול לגרום לכשל: "קובצי Cookie שנשלחים בהקשר חוצה-אתרים ייחסמו בגרסאות עתידיות של Chrome". בבעיה מפורטים קובצי ה-cookie שעשויים להיות מושפעים מהדף הנוכחי.

Privacy Sandbox Analysis Tool‏ (PSAT)

פיתחנו גם את כלי הניתוח של 'ארגז החול לפרטיות' (PSAT), תוסף ל-DevTools שעוזר לנתח את השימוש בקובצי Cookie במהלך סשנים של גלישה. כאן מפורטות דרכים לניפוי באגים של קובצי Cookie ותכונות של ארגז החול לפרטיות, עם נקודות גישה למידע נוסף על יוזמת ארגז החול לפרטיות.

הכרטיסייה 'בעיות' ב-DevTools שמוצגת בה אזהרה לגבי קובצי cookie מסוג SameSite=None.

התוסף משלים את DevTools עם יכולות מיוחדות לניתוח תרחישי ניפוי באגים שקשורים להוצאה משימוש של קובצי cookie של צד שלישי ולהטמעה של חלופות חדשות לשמירה על הפרטיות.

אפשר להוריד את התוסף מחנות האינטרנט של Chrome או לגשת למאגר ולוויקי של PSAT.

בדיקת הצדדים השלישיים שמשתמשים בקובצי Cookie

אם זיהית קובצי cookie שהוגדרו על ידי צדדים שלישיים, עליך לבדוק עם הספקים האלה אם יש להם תוכניות להפסקת השימוש בקובצי cookie של צדדים שלישיים. לדוגמה, יכול להיות שתצטרכו לשדרג גרסה של ספרייה שאתם משתמשים בה או לשנות הגדרות אישיות בשירות, או שלא תצטרכו לבצע פעולות במקרה שהצד השלישי מבצע בעצמו את השינויים הנדרשים.

2. בדיקה אם יש תקלה

אפשר להפעיל את Chrome באמצעות התכונה הניסיונית של שורת הפקודה --test-third-party-cookie-phaseout, או מ-Chrome 118 ואילך, להפעיל את chrome://flags/#test-third-party-cookie-phaseout. כך Chrome ייחסם קובצי Cookie של צד שלישי, ולוודא שהפונקציונליות החדשה וההקלות החדשות יהיו פעילות כדי לדמות בצורה הטובה ביותר את המצב אחרי ההוצאה משימוש.

אפשר גם לנסות לגלוש כשקובצי cookie של צד שלישי חסומים באמצעות chrome://settings/cookies, אבל חשוב לזכור שהדגל הזה מבטיח שהפונקציונליות החדשה והעדכנית מופעלת גם כן. חסימה של קובצי cookie של צד שלישי היא גישה טובה לזיהוי בעיות, אבל היא לא בהכרח מאמתת שהבעיות תוקנו.

אם אתם שומרים על חבילת בדיקות פעילה לאתרים שלכם, כדאי לבצע שתי הפעלות מקבילות: אחת עם Chrome בהגדרות הרגילות ואחת עם אותה גרסת Chrome שהופעלה עם הדגל --test-third-party-cookie-phaseout. אם יהיו כשלונות בבדיקות בסיבוב השני ולא בסיבוב הראשון, כדאי לבדוק אם יש יחסי תלות בקובצי cookie של צד שלישי. חשוב לדווח על הבעיות שמוצאים.

אחרי שתזהו את קובצי ה-cookie שיש בהם בעיות ותבינו את התרחישים לדוגמה שבהם הם משמשים, תוכלו לבחור את הפתרון הנדרש מבין האפשרויות הבאות.

3. שימוש בקובצי cookie של `Partitioned` עם CHIPS

אם קובץ ה-Cookie של הצד השלישי משמש בהקשר מוטמע של 1:1 עם האתר ברמה העליונה, כדאי לשקול להשתמש במאפיין Partitioned כחלק מהתכונה 'קובצי Cookie עם חלוקה עצמאית למחיצות' (CHIPS) כדי לאפשר גישה בכמה אתרים באמצעות קובץ cookie נפרד לכל אתר.

המאפיין Partitioned מאפשר להגדיר קובץ cookie נפרד של fav_store לכל אתר ברמה העליונה.

כדי להטמיע את CHIPS, מוסיפים את המאפיין Partitioned לכותרת Set-Cookie:

הגדרת Partitioned מאפשרת לאתר לשמור את קובץ ה-cookie בצנצנת עוגיות נפרדת שמחולקת לפי אתר ברמה העליונה. בדוגמה שלמעלה, קובץ ה-cookie מגיע מ-store-finder.site, שמארח מפה של חנויות שמאפשרת למשתמש לשמור את החנות המועדפת עליו. כשמשתמשים ב-CHIPS, כש-brand-a.site מטמיע את store-finder.site, הערך של קובץ ה-Cookie fav_store הוא 123. לאחר מכן, כש-brand-b.site יטמיע גם את store-finder.site, הוא יגדיר וישלח מכונה משלו של קובץ ה-cookie fav_store שמחולק למחיצות, למשל עם הערך 456.

המשמעות היא ששירותים מוטמעים עדיין יכולים לשמור מצב, אבל אין להם אחסון משותף בין אתרים שיאפשר מעקב בין אתרים.

תרחישים לדוגמה: הטמעת צ'אט של צד שלישי, הטמעת מפה של צד שלישי, הטמעת תשלומים של צד שלישי, איזון עומסים של CDN של משאב משנה, ספקי מערכת ניהול תוכן ללא ראש (headless), דומיינים של ארגז חול להצגת תוכן משתמש לא מהימן, רשתות CDN של צד שלישי שמשתמשות בקובצי Cookie לבקרת גישה, קריאות ל-API של צד שלישי שדורשות קובצי Cookie בבקשות, מודעות מוטמעות עם היקף מצב לכל בעל תוכן דיגיטלי.

מידע נוסף על צ'יפים

4. שימוש ב-Storage Access API ובקבוצות של אתרים קשורים

אם קובץ ה-Cookie של הצד השלישי משמש רק במספר קטן של אתרים קשורים, כדאי לשקול להשתמש בקבוצות של אתרים קשורים (RWS) כדי לאפשר גישה לכמה אתרים לקובץ ה-Cookie הזה בהקשר של האתרים שהוגדרו.

כדי להטמיע את RWS, צריך להגדיר ולשלוח את קבוצת האתרים של הקבוצה. כדי לוודא שהאתרים קשורים זה לזה באופן משמעותי, המדיניות לגבי קבוצה תקינה מחייבת לקבץ את האתרים האלה לפי: אתרים משויכים שיש ביניהם קשר גלוי (למשל, וריאנטים של מגוון המוצרים של חברה), דומיינים של שירותים (למשל, ממשקי API, רשתות CDN) או דומיינים עם קוד מדינה (למשל, *.uk,‏ *.jp).

קבוצות של אתרים קשורים מאפשרות גישה לקובצי Cookie בהקשר של האתרים המדווחים, אבל לא באתרים אחרים של צד שלישי.

אתרים יכולים להשתמש ב-Storage Access API כדי לבקש גישה לקובצי cookie באתרים שונים באמצעות requestStorageAccess() או להעניק גישה באמצעות requestStorageAccessFor(). כשאתרים נמצאים באותה קבוצה, הדפדפן יעניק גישה באופן אוטומטי וקובצי cookie בכמה אתרים יהיו זמינים.

כלומר, קבוצות של אתרים קשורים עדיין יכולות להשתמש בקובצי cookie שנשמרים בין אתרים בהקשר מוגבל, אבל הן לא מסתכנות בשיתוף קובצי cookie של צד שלישי בין אתרים לא קשורים באופן שיאפשר מעקב בין אתרים.

תרחישים לדוגמה: דומיינים ספציפיים לאפליקציה, דומיינים ספציפיים למותג, דומיינים ספציפיים למדינה, דומיינים בארגז חול להצגת תוכן משתמש לא מהימן, דומיינים של שירותים לממשקי API, רשתות CDN.

מידע נוסף על RWS

5. מעבר לממשקי ה-API הרלוונטיים לאינטרנט

CHIPS ו-RWS מאפשרים סוגים ספציפיים של גישה לקובצי cookie באתרים שונים תוך שמירה על פרטיות המשתמשים, אבל תרחישי השימוש האחרים בקובצי cookie של צד שלישי צריכים לעבור לחלופות שמתמקדות בשמירה על הפרטיות.

ארגז החול לפרטיות מספק מגוון ממשקי API שנועדו למטרות ספציפיות בתרחישי שימוש ספציפיים, בלי צורך בקובצי Cookie של צד שלישי:

ניהול מאוחד של פרטי כניסה (FedCM) מאפשר שירותי זהות מאוחדים שמאפשרים למשתמשים להיכנס לאתרים ולשירותים.
אסימוני מצב פרטיים מאפשרים למנוע הונאות וספאם באמצעות החלפה של מידע מוגבל שלא מזהה את המשתמשים בין אתרים.
Topics מאפשר לפרסם על סמך תחומי עניין ולהתאים אישית את התוכן.
Protected Audience מאפשר להשתמש ברימרקטינג ובקהלים בהתאמה אישית.
דוחות שיוך (Attribution) מאפשרים למדוד חשיפות של מודעות והמרות.

בנוסף, Chrome תומך ב-Storage Access API (SAA) לשימוש ב-iframe עם אינטראקציה של משתמשים. כבר יש תמיכה ב-SAA בדפדפני Edge,‏ Firefox ו-Safari. אנחנו מאמינים שהשיטה הזו יוצרת איזון טוב בין שמירה על פרטיות המשתמשים לבין הפעלת פונקציונליות קריטית באתרים שונים, עם היתרון של תאימות לדפדפנים שונים.

שימו לב: Storage Access API יציג למשתמשים בקשה להרשאת גישה בדפדפן. כדי לספק חוויית משתמש אופטימלית, נבקש מהמשתמש רק אם באתר שמפעיל את requestStorageAccess() הייתה אינטראקציה עם הדף המוטמע, והמשתמש ביקר בעבר באתר של הצד השלישי בהקשר ברמה העליונה. אם הבקשה תאושר, האתר יקבל גישה לקובצי cookie באתרים שונים למשך 30 יום. תרחישים לדוגמה הם תוכן מוטמע מאומת באתרים שונים, כמו ווידג'טים של תגובות ברשתות חברתיות, ספקי תשלומים ושירותי וידאו בתשלום.

אם עדיין יש לכם תרחישי שימוש בקובצי Cookie של צד שלישי שלא מכוסים באפשרויות האלה, עליכם לדווח לנו על הבעיה ולבדוק אם יש הטמעות חלופיות שלא תלויות בפונקציונליות שיכולה לאפשר מעקב בכמה אתרים.

תמיכת Enterprise

ל-Chrome בניהול ארגוני תמיד יש דרישות ייחודיות בהשוואה לשימוש כללי באינטרנט, ואנחנו נוודא שלאדמינים ארגוניים יהיו אמצעי בקרה מתאימים על ההוצאה משימוש של קובצי cookie של צד שלישי בדפדפנים שלהם.

בדומה לרוב הניסויים ב-Chrome, רוב משתמשי הקצה בארגונים יוחרגו באופן אוטומטי מההוצאה משימוש של 1% מקובצי ה-Cookie של צד שלישי. בארגונים מעטים שעשויים להיות מושפעים מהניסוי, האדמינים יכולים להגדיר את המדיניות BlockThirdPartyCookies לערך false כדי לבטל את ההסכמה בדפדפנים המנוהלים לפני הניסוי, וכך לאפשר זמן לבצע את השינויים הנדרשים כדי לא להסתמך על המדיניות הזו או על קובצי Cookie של צד שלישי. מידע נוסף זמין בנתוני הגרסה של Chrome Enterprise.

אנחנו גם מתכוונים לספק כלים ודוחות נוספים שיעזרו לזהות את השימוש בקובצי Cookie של צד שלישי באתרים ארגוניים. אנחנו רואים פחות דפדפנים ארגוניים במדדי השימוש של Chrome, ולכן חשוב במיוחד לארגונים לבדוק אם יש בעיות ולדווח לנו על בעיות.

ארגונים שמשתמשים בשילובי SaaS יוכלו להשתמש בתוכנית הניסיון של קובצי Cookie מצד שלישי שהוצאו משימוש שמתוארת בהמשך.

בקשה לזמן נוסף במסגרת הניסיון בתכונה של צד שלישי שהוצאה משימוש לתרחישי שימוש שלא קשורים לפרסום

כמו בהרבה מקרים קודמים של הפסקת שימוש בשירות באינטרנט, אנחנו מבינים שלפעמים בעלי אתרים צריכים יותר זמן כדי לבצע את השינויים הנדרשים. כשמדובר בשינויים שקשורים לפרטיות כמו זה, אנחנו צריכים גם לאזן בין השינויים לבין האינטרסים של המשתמשים באינטרנט.

אנחנו מתכננים להציע תקופת ניסיון לקובצי Cookie שהוצאו משימוש כדי לספק לאתרים או לשירותים שמשמשים בהקשר של מספר אתרים אפשרות להירשם לקבלת גישה מתמשכת לקובצי Cookie של צד שלישי לתקופת זמן מוגבלת.

נשתף פרטים נוספים ככל שהתוכניות יתקדמו, אבל אנחנו מתחילים עם כמה עקרונות מרכזיים:

זה יהיה ניסיון להוצאה משימוש של צד שלישי, שיאפשר לרכיבי הטמעה של צד שלישי להביע הסכמה להמשיך להשתמש באופן זמני בקובצי Cookie של צד שלישי.
כדי להירשם, תצטרכו לעבור תהליך בדיקה כדי לוודא שהתוכנית לניסיון ההוצאה משימוש תיעשה רק לגבי פונקציות שמשפיעות באופן משמעותי על תהליכי השימוש הקריטיים של המשתמשים. הבקשות לרישום ייבדקו על בסיס כל מקרה לגופו.
היא לא תפריע לבדיקות הפרסום שתוכננו לתחילת שנת 2024, כפי שמתואר ב-CMA. לכן, תרחישי שימוש שקשורים לפרסום לא ייכללו בתוכנית הניסוי להוצאה משימוש.

השלב הבא: נפרסם כוונה ברשימת התפוצה blink-dev עם פרטים נוספים במהלך החודש, ונמשיך לעדכן את המסמכים כאן.

שמירה על חוויות משתמש קריטיות

במשך יותר מרבע מאה, קובצי Cookie שפועלים באתרים שונים היו חלק קריטי באינטרנט. לכן כל שינוי, במיוחד שינוי שגורם לשבירה, הוא תהליך מורכב שדורש גישה מתואמת ומצטברת. מאפייני קובצי ה-cookie הנוספים וממשקי ה-API החדשים שמתמקדים בפרטיות מתאימים לרוב תרחישי השימוש, אבל יש תרחישים ספציפיים שבהם אנחנו רוצים לוודא שלא נגרום לשיבוש בחוויית השימוש של אנשים שמשתמשים באתרים האלה.

בעיקר מדובר בתהליכי אימות או תשלום שבהם אתר ברמה העליונה פותח חלון קופץ או מפנה לאתר של צד שלישי לצורך ביצוע פעולה, ולאחר מכן חוזר לאתר ברמה העליונה. בתהליך הזה נעשה שימוש בקובץ cookie במסלול החזרה או בהקשר המוטמע. אנחנו מתכוונים לספק קבוצה זמנית של שיטות היוריסטיות לזיהוי התרחישים האלה ולאפשר שימוש בקובצי Cookie של צד שלישי למשך זמן מוגבל, כדי לתת לאתרים חלון זמן ארוך יותר להטמיע את השינויים הנדרשים.

השלב הבא: נפרסמ בחודש הזה הודעה בנושא הכוונה בקבוצת הדיוור blink-dev עם פרטים נוספים, ונמשיך לעדכן את המסמכים כאן.

דיווח על בעיות בקובצי cookie של צד שלישי וקבלת עזרה

אנחנו רוצים לוודא שאנחנו מתעדים את התרחישים השונים שבהם יש תקלות באתרים ללא קובצי Cookie של צד שלישי, כדי שנוכל לספק הנחיות, פונקציונליות וכלים מתאימים כך שאתרים לא יהיו תלויים יותר בקובצי Cookie של צד שלישי. אם יש תקלות באתר שלכם או בשירות שאתם מסתמכים עליו כשקובצי Cookie של צדדים שלישיים מושבתים, אתם יכולים לדווח על כך בכלי המעקב שלנו אחרי תקלות בכתובת goo.gle/report-3pc-broken.

אם יש לכם שאלות לגבי תהליך ההוצאה משימוש ותכנית Chrome, אתם יכולים לדווח על בעיה חדשה באמצעות התג 'הוצאה משימוש של קובצי Cookie של צד שלישי' במאגר התמיכה למפתחים שלנו.