דף זה תורגם על ידי Cloud Translation API.

מתכוננים לסיום של קובצי cookie של צדדים שלישיים
bookmark_border קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

אם האתר שלכם משתמש בקובצי cookie של צד שלישי, הגיע הזמן לפעול לקראת ההוצאה משימוש שלהם. כדי לאפשר את הבדיקה, החל מ-4 בינואר 2024, קובצי ה-Cookie של צד שלישי הוגבלו ב-Chrome ל-1% מהמשתמשים. החל מרבעון שלישי של 2024, אנחנו מתכננים להרחיב את ההגבלות על קובצי Cookie של צד שלישי ל-100% מהמשתמשים ב-Chrome, בכפוף לפתרון של כל הבעיות הנותרות שקשורות לתחרות, כפי שנקבע על ידי רשות התחרות והשווקים (Competition and Markets Authority) בבריטניה.

המטרה של ארגז החול לפרטיות היא לצמצם את המעקב באתרים שונים, תוך שמירה על הפונקציונליות שמאפשרת לכולם לגשת לשירותים ולתוכן באינטרנט. ההוצאה משימוש וההסרה של קובצי Cookie של צד שלישי ממחישות את האתגר, כי הם מאפשרים פונקציונליות קריטית בכניסה לחשבון, בהגנה מפני הונאות, בפרסום ובאופן כללי ביכולת להטמיע תוכן עשיר של צד שלישי באתרים שלכם – אבל הם גם הגורמים העיקריים שמאפשרים מעקב בכמה אתרים.

בשלב המשמעותי הקודם שלנו, השקנו מגוון ממשקי API שמספקים חלופה שמתמקדת בפרטיות לסטטוס קוו הנוכחי בתרחישים לדוגמה כמו זיהוי, פרסום וזיהוי הונאות. עכשיו, כשיש לנו חלופות, אנחנו יכולים להתחיל להוציא משימוש בהדרגה קובצי cookie של צד שלישי.

בסדרת הכתבות הזו בנושא 'ספירת הימים לקובצי cookie', נסביר על ציר הזמן ועל הפעולות המיידיות שאפשר לבצע כדי לוודא שהאתרים שלכם מוכנים.

הוצאה משימוש של 1% מקובצי ה-Cookie של צד שלישי ובדיקות שמתבצעות באמצעות Chrome

בציר הזמן של privacysandbox.com אפשר לראות שני ציוני דרך ברבעון הרביעי של שנת 2023 וברבעון הראשון של שנת 2024, כחלק ממצבי הבדיקה שמתבצעים באמצעות Chrome. הבדיקה הזו מיועדת בעיקר לארגונים שבודקים את ממשקי ה-API של ארגז החול לפרטיות למדידת ביצועים ולקביעת רלוונטיות, אבל במסגרת הבדיקה הזו נשבית את קובצי ה-cookie של צד שלישי אצל 1% ממשתמשי Chrome Stable.

כלומר, החל מתחילת שנת 2024, צפוי להיות גידול בחלק מהמשתמשים באתר שלכם שמשתמשים ב-Chrome עם קובצי cookie של צד שלישי מושבתים, גם אם אתם לא משתתפים באופן פעיל בבדיקה שמתבצעת באמצעות Chrome. תקופת הבדיקות הזו תמשיך גם ברבעון השלישי של 2024. במועד הזה, לאחר התייעצות עם CMA ובהתאם לפתרון בעיות כלשהן שנוגעות לתחרות, אנחנו מתכננים להתחיל תהליך השבתה של קובצי Cookie של צדדים שלישיים לכל משתמשי Chrome.

הכנה להוצאה משימוש בהדרגה של קובצי Cookie של צד שלישי

כדי לוודא שהאתר שלכם יהיה מוכן לפעול ללא קובצי Cookie של צד שלישי, פירטנו את התהליך בשלבים העיקריים הבאים:

בדיקת השימוש בקובצי Cookie של צד שלישי
בודקים אם יש שגיאות.
בקובצי cookie בכמה אתרים שמאחסנים נתונים לפי אתר, כמו הטמעה, כדאי להשתמש ב-Partitioned עם CHIPS.
אם אתם רוצים להשתמש בקובצי cookie בכמה אתרים בקבוצה קטנה של אתרים מקושרים באופן משמעותי, כדאי להשתמש בקבוצות של אתרים קשורים.
בתרחישי שימוש אחרים בקובצי cookie של צד שלישי, צריך לעבור לממשקי ה-API הרלוונטיים לאינטרנט.

1. בדיקת השימוש בקובצי cookie של צד שלישי

אפשר לזהות קובצי cookie של צד שלישי לפי הערך שלהם ב-SameSite=None. צריך לחפש בקוד מקרים שבהם הגדרתם את המאפיין SameSite לערך הזה. אם בעבר ביצעתם שינויים כדי להוסיף את SameSite=None לקובצי ה-cookie בסביבות שנת 2020, יכול להיות שהשינויים האלה יהוו נקודת התחלה טובה.

כלי פיתוח ל-Chrome

בחלונית 'רשת' בכלי הפיתוח של Chrome מוצגים קובצי cookie שהוגדרו ונשלחו בבקשות. בחלונית 'אפליקציה', הכותרת 'קובצי Cookie' מופיעה בקטע 'אחסון'. אפשר לעיין בקובצי ה-cookie שנשמרו לכל אתר שאליו ניגשת במהלך טעינת הדף. אפשר למיין לפי העמודה SameSite כדי לקבץ את כל קובצי ה-cookie מסוג None.

הכרטיסייה 'בעיות' ב-DevTools שמוצגת בה אזהרה לגבי קובצי cookie מסוג SameSite=None.

החל מגרסה 118 של Chrome, בכרטיסייה 'בעיות' בכלי הפיתוח מוצגת הבעיה של שינוי תוכנה שעלול לגרום לכשל: "קובצי Cookie שנשלחים בהקשר חוצה-אתרים ייחסמו בגרסאות עתידיות של Chrome". בבעיה מפורטים קובצי ה-cookie שעשויים להיות מושפעים מהדף הנוכחי.

כלי הניתוח של 'ארגז החול לפרטיות' (PSAT)

פיתחנו גם את כלי הניתוח של 'ארגז החול לפרטיות' (PSAT), תוסף ל-DevTools שעוזר לנתח את השימוש בקובצי Cookie במהלך סשנים של גלישה. כאן מפורטות דרכים לניפוי באגים של קובצי cookie ותכונות של ארגז החול לפרטיות, עם נקודות גישה למידע נוסף על יוזמת ארגז החול לפרטיות.

התוסף משלים את DevTools ביכולות מיוחדות לניתוח תרחישי ניפוי באגים שקשורים להוצאה משימוש של קובצי cookie של צד שלישי ולהטמעה של חלופות חדשות לשמירה על הפרטיות.

אפשר להוריד את התוסף מחנות האינטרנט של Chrome או לגשת למאגר ולוויקי של PSAT.

בדיקת הצדדים השלישיים שמשתמשים בקובצי cookie

אם זיהית קובצי cookie שהוגדרו על ידי צדדים שלישיים, כדאי לבדוק עם הספקים האלה אם יש להם תוכניות להפסקת השימוש בקובצי cookie של צדדים שלישיים. לדוגמה, יכול להיות שתצטרכו לשדרג גרסה של ספרייה שאתם משתמשים בה או לשנות הגדרות אישיות בשירות, או שלא תצטרכו לבצע פעולות במקרה שהצד השלישי מבצע בעצמו את השינויים הנדרשים.

2. בדיקה של שגיאות

אפשר להפעיל את Chrome באמצעות התכונה הניסיונית של שורת הפקודה --test-third-party-cookie-phaseout, או מ-Chrome 118 ואילך, להפעיל את chrome://flags/#test-third-party-cookie-phaseout. כך Chrome יתחיל לחסום קובצי Cookie של צד שלישי, ולוודא שהתכונות החדשות והאמצעים החדשים לצמצום ההשפעה יהיו פעילים כדי לדמות בצורה הטובה ביותר את המצב אחרי ההוצאה משימוש.

אפשר גם לנסות לגלוש עם קובצי cookie של צד שלישי חסומים באמצעות chrome://settings/cookies, אבל חשוב לזכור שהדגל הזה מבטיח שהפונקציונליות החדשה והעדכנית מופעלת גם כן. חסימה של קובצי cookie של צד שלישי היא גישה טובה לזיהוי בעיות, אבל היא לא בהכרח מאמתת שהבעיות תוקנו.

אם אתם שומרים על חבילת בדיקות פעילה לאתרים שלכם, כדאי לבצע שתי הפעלות מקבילות: אחת עם Chrome בהגדרות הרגילות ואחת עם אותה גרסת Chrome שהופעלה עם הדגל --test-third-party-cookie-phaseout. אם יש כישלונות בבדיקות בסיבוב השני ולא בסיבוב הראשון, כדאי לבדוק אם יש יחסי תלות בקובצי cookie של צד שלישי. חשוב לדווח על הבעיות שמוצאים.

אחרי שתזהו את קובצי ה-cookie שיש בהם בעיות ותבינו את התרחישים לדוגמה שבהם הם משמשים, תוכלו לבחור את הפתרון הנדרש מבין האפשרויות הבאות.

3. שימוש בקובצי cookie של `Partitioned` עם CHIPS

אם קובץ ה-cookie של הצד השלישי משמש בהקשר מוטמע ביחס של 1:1 עם האתר ברמה העליונה, כדאי להשתמש במאפיין Partitioned כחלק מקובצי cookie עם חלוקה עצמאית למחיצות (CHIPS) כדי לאפשר גישה בכמה אתרים באמצעות קובץ cookie נפרד לכל אתר.

המאפיין Partitioned מאפשר להגדיר קובץ cookie נפרד מסוג fav_store לכל אתר ברמה העליונה.

כדי להטמיע את CHIPS, מוסיפים את המאפיין Partitioned לכותרת Set-Cookie:

הגדרת Partitioned מאפשרת לאתר לשמור את קובץ ה-cookie בקונטיינר נפרד של קובצי cookie, שמחולק לפי אתר ברמה העליונה. בדוגמה שלמעלה, קובץ ה-cookie מגיע מ-store-finder.site, שמארח מפה של חנויות שמאפשרת למשתמש לשמור את החנות המועדפת עליו. כשמשתמשים ב-CHIPS, כש-brand-a.site מטמיע את store-finder.site, הערך של קובץ ה-Cookie fav_store הוא 123. לאחר מכן, כש-brand-b.site יטמיע גם את store-finder.site, הוא יגדיר וישלח מכונה משלו של קובץ ה-cookie fav_store שמחולק למחיצות, למשל עם הערך 456.

המשמעות היא ששירותים מוטמעים עדיין יכולים לשמור מצב, אבל אין להם אחסון משותף בין אתרים שיאפשר מעקב בין אתרים.

תרחישים לדוגמה: הטמעת צ'אט של צד שלישי, הטמעת מפה של צד שלישי, הטמעת תשלומים של צד שלישי, איזון עומסים של CDN של משאב משנה, ספקי מערכת ניהול תוכן ללא ראש (headless), דומיינים של ארגז חול להצגת תוכן משתמש לא מהימן, רשתות CDN של צד שלישי שמשתמשות בקובצי cookie לבקרת גישה, קריאות ל-API של צד שלישי שדורשות קובצי cookie בבקשות, מודעות מוטמעות עם היקף מצב לכל בעל תוכן דיגיטלי.

מידע נוסף על צ'יפים

4. שימוש ב-Storage Access API ובקבוצות של אתרים קשורים

אם קובץ ה-cookie של הצד השלישי משמש רק במספר קטן של אתרים קשורים, כדאי לשקול להשתמש בקבוצות של אתרים קשורים (RWS) כדי לאפשר גישה לכמה אתרים לקובץ ה-cookie הזה בהקשר של האתרים שהוגדרו.

כדי להטמיע את RWS, צריך להגדיר ולשלוח את קבוצת האתרים של הקבוצה. כדי לוודא שהאתרים קשורים זה לזה באופן משמעותי, המדיניות לגבי קבוצה תקינה מחייבת לקבץ את האתרים האלה לפי: אתרים משויכים שיש ביניהם קשר גלוי (למשל, וריאנטים של מגוון המוצרים של חברה), דומיינים של שירותים (למשל, ממשקי API, רשתות CDN) או דומיינים עם קוד מדינה (למשל, *.uk,‏ *.jp).

קבוצות של אתרים קשורים מאפשרות גישה לקובצי cookie בהקשר של האתרים המדווחים, אבל לא באתרים אחרים של צד שלישי.

אתרים יכולים להשתמש ב-Storage Access API כדי לבקש גישה לקובצי cookie בכמה אתרים באמצעות requestStorageAccess() או להעניק גישה באמצעות requestStorageAccessFor(). כשאתרים נמצאים באותה קבוצה, הדפדפן יעניק גישה באופן אוטומטי וקובצי cookie בכמה אתרים יהיו זמינים.

פירוש הדבר הוא שקבוצות של אתרים קשורים עדיין יכולות להשתמש בקובצי cookie מאתרים שונים בהקשר מוגבל, אבל לא נמצאות בסיכון לשתף קובצי cookie של צד שלישי עם אתרים לא קשורים באופן שיאפשר מעקב בכמה אתרים.

תרחישים לדוגמה: דומיינים ספציפיים לאפליקציה, דומיינים ספציפיים למותג, דומיינים ספציפיים למדינה, דומיינים בסביבת חול להצגת תוכן משתמש לא מהימן, דומיינים של שירותים לממשקי API, רשתות CDN.

מידע נוסף על RWS

5. מעבר לממשקי ה-API הרלוונטיים לאינטרנט

CHIPS ו-RWS מאפשרים סוגים ספציפיים של גישה לקובצי cookie באתרים שונים תוך שמירה על פרטיות המשתמשים, אבל בתרחישי השימוש האחרים בקובצי cookie של צד שלישי צריך לעבור לחלופות שמתמקדות בשמירה על הפרטיות.

ארגז החול לפרטיות מספק מגוון ממשקי API שמיועדים לתרחישים ספציפיים לדוגמה, בלי צורך בקובצי Cookie של צד שלישי:

ניהול מאוחד של פרטי כניסה (FedCM) מאפשר שירותי אימות זהות מאוחדים שמאפשרים למשתמשים להיכנס לאתרים ולשירותים.
אסימוני מצב פרטי מאפשרים למנוע הונאות וספאם באמצעות החלפה של מידע מוגבל שאינו מאפשר זיהוי בין אתרים.
התכונה 'נושאים' מאפשרת להציג מודעות לפי תחומי עניין ולהתאים אישית את התוכן.
Protected Audience מאפשר רימרקטינג וקהלים בהתאמה אישית.
דוחות שיוך (Attribution) מאפשרים למדוד חשיפות של מודעות והמרות.

בנוסף, Chrome תומך ב-Storage Access API (SAA) לשימוש ב-iframe עם אינטראקציה של משתמשים. כבר יש תמיכה ב-SAA בדפדפני Edge,‏ Firefox ו-Safari. אנחנו מאמינים שהשיטה הזו מאפשרת לשמור על פרטיות המשתמשים תוך הפעלת פונקציונליות קריטית בכמה אתרים, עם היתרון של תאימות לכמה דפדפנים.

שימו לב: Storage Access API יציג למשתמשים בקשה להרשאה בדפדפן. כדי לספק חוויית משתמש אופטימלית, נבקש מהמשתמש רק אם האתר שמפעיל את requestStorageAccess() יצר אינטראקציה עם הדף המוטמע וביקר בעבר באתר של הצד השלישי בהקשר ברמה העליונה. אם הבקשה תאושר, האתר יקבל גישה לקובצי cookie באתרים שונים למשך 30 יום. תרחישים לדוגמה הם הטמעות מאומתות באתרים שונים, כמו ווידג'טים של תגובות ברשתות חברתיות, ספקי תשלומים ושירותי וידאו בתשלום.

אם עדיין יש לכם תרחישי שימוש בקובצי cookie של צד שלישי שלא מכוסים באפשרויות האלה, עליכם לדווח לנו על הבעיה ולבדוק אם יש הטמעות חלופיות שלא תלויות בפונקציונליות שיכולה לאפשר מעקב בכמה אתרים.

תמיכת Enterprise

ל-Chrome בניהול ארגוני תמיד יש דרישות ייחודיות בהשוואה לשימוש כללי באינטרנט, ואנחנו נוודא שלאדמינים ארגוניים יהיו אמצעי בקרה מתאימים על ההוצאה משימוש של קובצי cookie של צד שלישי בדפדפנים שלהם.

בדומה לרוב הניסויים ב-Chrome, רוב משתמשי הקצה בארגונים יוחרגו באופן אוטומטי מההוצאה משימוש של 1% מקובצי ה-Cookie של צד שלישי. בארגונים מעטים שעשויים להיות מושפעים מהניסוי, האדמינים יכולים להגדיר את המדיניות BlockThirdPartyCookies לערך false כדי לבטל את ההסכמה בדפדפנים המנוהלים לפני הניסוי, וכך לאפשר זמן לבצע את השינויים הנדרשים כדי לא להסתמך על המדיניות הזו או על קובצי Cookie של צד שלישי. מידע נוסף זמין בנתוני הגרסה של Chrome Enterprise.

אנחנו גם מתכוונים לספק כלים ודוחות נוספים שיעזרו לזהות את השימוש בקובצי Cookie של צד שלישי באתרים ארגוניים. אנחנו רואים פחות דפדפנים ארגוניים במדדי השימוש של Chrome, ולכן חשוב במיוחד לארגונים לבדוק אם יש בעיות ולדווח לנו על בעיות.

שילובי SaaS ארגוניים יוכלו להשתמש בתוכנית הניסיון של קובצי Cookie מצד שלישי שהוצאו משימוש שמתוארת בהמשך.

בקשה לזמן נוסף במסגרת הניסיון בתכונה של צד שלישי שהוצאה משימוש בתרחישי שימוש שאינם קשורים לפרסום

כמו בהרבה מקרים קודמים של הפסקת שימוש בשירות באינטרנט, אנחנו מבינים שלפעמים בעלי אתרים צריכים יותר זמן כדי לבצע את השינויים הנדרשים. כשמדובר בשינויים שקשורים לפרטיות כמו זה, אנחנו צריכים גם לאזן בין השינויים לבין האינטרסים של המשתמשים באינטרנט.

אנחנו מתכננים להציע תקופת ניסיון לקובצי Cookie שהוצאו משימוש כדי לספק לאתרים או לשירותים שמשמשים בהקשר של מספר אתרים אפשרות להירשם לקבלת גישה מתמשכת לקובצי Cookie של צד שלישי לתקופת זמן מוגבלת.

נשתף פרטים נוספים בהמשך התהליך, אבל אנחנו מתחילים עם כמה עקרונות מרכזיים:

זה יהיה ניסיון להוצאה משימוש של צד שלישי, שיאפשר לרכיבי הטמעה של צד שלישי להביע הסכמה להמשיך להשתמש בקובצי Cookie של צד שלישי באופן זמני.
כדי להירשם, תצטרכו לעבור תהליך בדיקה כדי לוודא שהניסיון שלכם עם ההוצאה משימוש תתבצע רק לגבי פונקציות שמשפיעות באופן משמעותי על תהליכי השימוש הקריטיים של המשתמשים. הבקשות לרישום ייבדקו על בסיס כל מקרה לגופו.
היא לא תפריע לבדיקות הפרסום שתוכננו לתחילת שנת 2024, כפי שמתואר ב-CMA. לכן, תרחישי שימוש שקשורים לפרסום לא ייכללו בתוכנית הניסוי להוצאה משימוש.

השלב הבא: נפרסם כוונה ברשימת התפוצה blink-dev עם פרטים נוספים במהלך החודש, ונמשיך לעדכן את המסמכים כאן.

שמירה על חוויית משתמש קריטית

קובצי cookie בכמה אתרים הם חלק חיוני מהאינטרנט כבר יותר מרבע מאה. לכן כל שינוי, במיוחד שינוי שגורם לשבירה, הוא תהליך מורכב שדורש גישה מתואמת ומצטברת. מאפייני קובצי ה-cookie הנוספים וממשקי ה-API החדשים שמתמקדים בפרטיות מתאימים לרוב התרחישים לדוגמה, אבל יש תרחישים ספציפיים שבהם אנחנו רוצים לוודא שלא נגרום לשיבוש בחוויית השימוש של אנשים שמשתמשים באתרים האלה.

בעיקר מדובר בתהליכי אימות או תשלום שבהם אתר ברמה העליונה פותח חלון קופץ או מפנה לאתר של צד שלישי לצורך פעולה, ולאחר מכן חוזר לאתר ברמה העליונה, תוך שימוש בקובץ cookie במסלול החזרה או בהקשר המוטמע. אנחנו מתכוונים לספק קבוצה זמנית של שיטות היוריסטיות לזיהוי התרחישים האלה ולאפשר שימוש בקובצי Cookie של צד שלישי למשך זמן מוגבל, כדי לתת לאתרים חלון זמן ארוך יותר להטמיע את השינויים הנדרשים.

השלב הבא: נפרסמ בחודש הזה הודעה בנושא הכוונה בקבוצת הדיוור blink-dev עם פרטים נוספים, ונמשיך לעדכן את המסמכים כאן.

דיווח על בעיות בקובצי cookie של צד שלישי וקבלת עזרה

אנחנו רוצים לוודא שאנחנו מתעדים את התרחישים השונים שבהם יש תקלות באתרים ללא קובצי Cookie של צד שלישי, כדי שנוכל לספק הנחיות, פונקציונליות וכלים מתאימים כך שאתרים לא יהיו תלויים יותר בקובצי Cookie של צד שלישי. אם יש תקלות באתר שלכם או בשירות שאתם מסתמכים עליו כשקובצי Cookie של צדדים שלישיים מושבתים, אתם יכולים לדווח על כך בכלי המעקב שלנו אחרי תקלות בכתובת goo.gle/report-3pc-broken.

אם יש לכם שאלות לגבי תהליך ההוצאה משימוש ותכנית Chrome, אתם יכולים לדווח על בעיה חדשה באמצעות התג 'הוצאה משימוש של קובצי Cookie של צד שלישי' במאגר התמיכה למפתחים שלנו.