Si tu sitio usa cookies de terceros, es hora de tomar medidas, ya que pronto se darán de baja. Para facilitar las pruebas, Chrome restringió las cookies de terceros para el 1% de los usuarios a partir del 4 de enero de 2024. Chrome planea aumentar las restricciones de cookies de terceros para el 100% de los usuarios a partir del tercer trimestre de 2024, sujeto a que se aborden las inquietudes restantes sobre la competencia de la Competition and Markets Authority del Reino Unido.
Nuestro objetivo con Privacy Sandbox es reducir el seguimiento entre sitios y, al mismo tiempo, mantener la funcionalidad que permite que el contenido y los servicios en línea sean de libre acceso para todos. La baja y eliminación de las cookies de terceros encapsula el desafío, ya que habilitan funciones esenciales en el acceso, la protección contra fraudes, la publicidad y, en general, la capacidad de incorporar contenido enriquecido de terceros en tus sitios. Sin embargo, al mismo tiempo, también son los habilitadores clave del seguimiento entre sitios.
En nuestro último hito importante, lanzamos una variedad de APIs que proporcionan una alternativa centrada en la privacidad al statu quo actual para casos de uso como la identidad, la publicidad y la detección de fraudes. Con las alternativas implementadas, ahora podemos comenzar a eliminar gradualmente las cookies de terceros.
En esta serie de recuento de la eliminación de cookies, te explicaremos el cronograma y las acciones inmediatas que puedes realizar para asegurarte de que tus sitios estén preparados.
Baja del 1% de las cookies de terceros y pruebas facilitadas por Chrome
En el cronograma de privacysandbox.com, puedes ver dos eventos importantes en el cuarto trimestre de 2023 y el primer trimestre de 2024, como parte de los modos de pruebas facilitadas por Chrome. Estas pruebas están destinadas principalmente a las organizaciones que prueban las APIs de medición y relevancia de Privacy Sandbox. Sin embargo, como parte de esto, inhabilitaremos las cookies de terceros para el 1% de los usuarios de Chrome estable.
Esto significa que, a partir de principios de 2024, es probable que veas un mayor porcentaje de usuarios de Chrome en tu sitio con las cookies de terceros inhabilitadas, incluso si no participas activamente en las pruebas facilitadas por Chrome. Este período de prueba continuará hasta el tercer trimestre de 2024, momento en el cual, después de la consulta a la CMA y de resolver cualquier inquietud sobre competencia, planeamos comenzar a inhabilitar las cookies de terceros para todos los usuarios de Chrome.
Prepárate para la eliminación gradual de las cookies de terceros
Para asegurarnos de que tengas todo listo para que tu sitio se ejecute sin cookies de terceros, dividimos el proceso en estos pasos clave, que se detallan a continuación:
- Audita el uso de cookies de terceros.
- Prueba si hay fallas.
- En el caso de las cookies entre sitios que almacenan datos por sitio, como una incorporación, considera usar
Partitionedcon CHIPS. - Para las cookies entre sitios en un pequeño grupo de sitios vinculados de forma significativa, considera los Conjuntos de sitios web relacionados.
- Para otros casos de uso de cookies de terceros, migra a las APIs web relevantes.
1. Audita el uso de cookies de terceros
Las cookies de terceros se pueden identificar por su valor SameSite=None. Debes buscar en tu código instancias en las que hayas establecido el atributo SameSite en este valor. Si anteriormente realizaste cambios para agregar SameSite=None a tus cookies alrededor de 2020, esos cambios pueden ser un buen punto de partida.
Herramientas para desarrolladores de Chrome
El panel Red de las Herramientas para desarrolladores de Chrome muestra las cookies configuradas y enviadas en las solicitudes. En el panel Aplicación, puedes ver el encabezado Cookies en Almacenamiento. Puedes explorar las cookies almacenadas para cada sitio al que se accedió como parte de la carga de la página. Puedes ordenar por la columna SameSite para agrupar todas las cookies None.
A partir de Chrome 118, la pestaña Problemas de DevTools muestra el problema de cambio rotundo "Se bloquearán las cookies enviadas en el contexto entre sitios en versiones futuras de Chrome". En el problema, se enumeran las cookies potencialmente afectadas de la página actual.
Privacy Sandbox Analysis Tool (PSAT)
También creamos Privacy Sandbox Analysis Tool (PSAT), una extensión de DevTools para facilitar el análisis del uso de cookies durante las sesiones de navegación. Esto proporciona rutas de depuración para las cookies y las funciones de Privacy Sandbox, con puntos de acceso para obtener más información sobre la iniciativa.
La extensión complementa DevTools con capacidades especializadas para analizar y depurar situaciones relacionadas con la baja de las cookies de terceros y la adopción de nuevas alternativas que preservan la privacidad.
Puedes descargar la extensión desde Chrome Web Store o acceder al repositorio y la wiki de PSAT.
Cómo verificar a tus terceros que usan cookies
Si identificas cookies configuradas por terceros, debes consultar con esos proveedores para ver si tienen planes para la eliminación gradual de las cookies de terceros. Por ejemplo, quizás necesites actualizar una versión de la biblioteca que estás usando, cambiar una opción de configuración del servicio o no tomar ninguna medida si el tercero está realizando los cambios necesarios por su cuenta.
2. Prueba si hay daños
Puedes iniciar Chrome con la función experimental de línea de comandos --test-third-party-cookie-phaseout o, a partir de Chrome 118, habilitar chrome://flags/#test-third-party-cookie-phaseout. Esto configurará Chrome para que bloquee las cookies de terceros y garantice que las mitigaciones y las funciones nuevas estén activas para simular mejor el estado después de la baja gradual.
También puedes intentar navegar con las cookies de terceros bloqueadas a través de chrome://settings/cookies, pero ten en cuenta que la marca garantiza que la funcionalidad nueva y actualizada también esté habilitada. Bloquear las cookies de terceros es un buen enfoque para detectar problemas, pero no necesariamente valida que los hayas solucionado.
Si mantienes un paquete de pruebas activo para tus sitios, debes realizar dos ejecuciones en paralelo: una con Chrome en la configuración habitual y otra con la misma versión de Chrome iniciada con la marca --test-third-party-cookie-phaseout. Cualquier error de prueba en la segunda ejecución y no en la primera es un buen candidato para investigar si hay dependencias de cookies de terceros. Asegúrate de informar los problemas que encuentres.
Una vez que hayas identificado las cookies con problemas y comprendas los casos de uso, puedes analizar las siguientes opciones para elegir la solución necesaria.
3. Usa cookies Partitioned con CHIPS
Cuando tu cookie de terceros se usa en un contexto incorporado 1:1 con el sitio de nivel superior, puedes usar el atributo Partitioned como parte de las cookies con estado particionado independiente (CHIPS) para permitir el acceso entre sitios con una cookie independiente que se usa por sitio.
Para implementar CHIPS, agrega el atributo Partitioned al encabezado Set-Cookie:
Cuando se configura Partitioned, el sitio acepta almacenar la cookie en un contenedor de cookies independiente particionado por sitio de nivel superior. En el ejemplo anterior, la cookie proviene de store-finder.site, que aloja un mapa de tiendas que permite al usuario guardar su tienda favorita. Cuando se usan CHIPS, cuando brand-a.site incorpora store-finder.site, el valor de la cookie fav_store es 123. Luego, cuando brand-b.site también incorpore store-finder.site, establecerá y enviará su propia instancia particionada de la cookie fav_store, por ejemplo, con el valor 456.
Esto significa que los servicios incorporados aún pueden guardar el estado, pero no tienen almacenamiento compartido entre sitios que permita el seguimiento entre sitios.
Posibles casos de uso: incorporaciones de chat de terceros, incorporaciones de mapas de terceros, incorporaciones de pagos de terceros, balanceo de cargas de CDN de subrecursos, proveedores de CMS sin cabeza, dominios de zona de pruebas para publicar contenido de usuario no confiable, CDN de terceros que usan cookies para el control de acceso, llamadas a la API de terceros que requieren cookies en las solicitudes, anuncios incorporados con estado centrado en cada publicador.
4. Usa la API de Storage Access y los conjuntos de sitios web relacionados
Si tu cookie de terceros solo se usa en una pequeña cantidad de sitios relacionados, te recomendamos que uses los Conjuntos de sitios web relacionados (RWS) para permitir el acceso entre sitios de esa cookie en el contexto de esos sitios definidos.
Para implementar RWS, deberás definir y enviar el grupo de sitios del conjunto. Para garantizar que los sitios estén relacionados de forma significativa, la política de un conjunto válido requiere que se agrupen por sitios asociados con una relación visible entre sí (p.ej., variantes de la oferta de productos de una empresa), dominios de servicio (p.ej., APIs, CDN) o dominios de código de país (p.ej., *.uk, *.jp).
Los sitios pueden usar la API de Storage Access para solicitar acceso a cookies entre sitios con requestStorageAccess() o delegar el acceso con requestStorageAccessFor(). Cuando los sitios estén dentro del mismo conjunto, el navegador otorgará acceso automáticamente y las cookies entre sitios estarán disponibles.
Esto significa que los grupos de sitios relacionados aún pueden usar cookies de varios sitios en un contexto limitado, pero no corren el riesgo de compartir cookies de terceros en sitios no relacionados de una manera que permita el seguimiento en varios sitios.
Posibles casos de uso: dominios específicos de la app, dominios específicos de la marca, dominios específicos de cada país, dominios de zona de pruebas para publicar contenido de usuario no confiable, dominios de servicio para APIs, CDN.
5. Migra a las APIs web relevantes
CHIPS y RWS habilitan tipos específicos de acceso a cookies entre sitios y, al mismo tiempo, conservan la privacidad del usuario. Sin embargo, los otros casos de uso de las cookies de terceros deben migrar a alternativas centradas en la privacidad.
Privacy Sandbox proporciona una variedad de APIs diseñadas para casos de uso específicos sin necesidad de cookies de terceros:
- La administración de credenciales federadas (FedCM) habilita servicios de identidad federada que permiten a los usuarios acceder a sitios y servicios.
- Los Tokens de estado privados permiten la prevención del fraude y el spam mediante el intercambio de información limitada que no permite identificar al usuario entre los sitios.
- Temas habilita la publicidad basada en intereses y la personalización de contenido.
- Protected Audience habilita el remarketing y los públicos personalizados.
- Los Informes de atribución permiten medir las impresiones de anuncios y las conversiones.
Además, Chrome admite la API de Storage Access (SAA) para su uso en iframes con interacción del usuario. La SAA ya es compatible con Edge, Firefox y Safari. Creemos que logra un buen equilibrio para mantener la privacidad del usuario y, al mismo tiempo, habilitar la funcionalidad esencial entre sitios con el beneficio de la compatibilidad con varios navegadores.
Ten en cuenta que la API de Storage Access mostrará a los usuarios un mensaje de permiso del navegador. Para proporcionar una experiencia del usuario óptima, solo le haremos una pregunta al usuario si el sitio que llama a requestStorageAccess() interactuó con la página incorporada y visitó anteriormente el sitio de terceros en un contexto de nivel superior. Si se otorga correctamente, se permitirá el acceso a las cookies entre sitios para ese sitio durante 30 días. Los posibles casos de uso son incorporaciones autenticadas entre sitios, como widgets de comentarios de redes sociales, proveedores de pagos y servicios de video por suscripción.
Si aún tienes casos de uso de cookies de terceros que no se incluyen en estas opciones, debes informarnos el problema y considerar si hay implementaciones alternativas que no dependan de la funcionalidad que puede habilitar el seguimiento entre sitios.
Asistencia para empresas
El uso de Chrome administrado por una empresa siempre tiene requisitos únicos en comparación con el uso general de la Web, y nos aseguraremos de que los administradores de Enterprise tengan controles adecuados sobre la baja de las cookies de terceros en sus navegadores.
Al igual que con la mayoría de los experimentos de Chrome, la mayoría de los usuarios finales empresariales se excluirán automáticamente del 1% de la baja de las cookies de terceros. En los pocos casos que se vean afectados, los administradores empresariales pueden establecer la política BlockThirdPartyCookies en false para inhabilitar sus navegadores administrados antes del experimento y darles tiempo para que realicen los cambios necesarios para no depender de esta política ni de las cookies de terceros. Obtén más información en las notas de la versión de Chrome Enterprise.
También tenemos la intención de proporcionar más informes y herramientas para ayudar a identificar el uso de cookies de terceros en los sitios empresariales. Tenemos menos visibilidad de los navegadores empresariales en las métricas de uso de Chrome, lo que significa que es especialmente importante que las empresas prueben si hay fallas y nos informen los problemas.
Las integraciones de SaaS empresariales podrán usar la prueba de baja de terceros que se describe a continuación.
Solicita tiempo adicional con la prueba de baja de terceros para casos de uso no publicitarios
Al igual que con muchas bajas anteriores en la Web, entendemos que hay casos en que los sitios requieren tiempo adicional para hacer los cambios necesarios. Cuando se trata de cambios relacionados con la privacidad como este, también debemos equilibrarlos con los intereses de las personas que usan la Web.
Planeamos ofrecer una prueba de baja para que los sitios o servicios que se usan en un contexto de varios sitios se registren y puedan seguir accediendo a cookies de terceros por un período limitado.
Compartiremos más detalles a medida que avancen los planes, pero comenzaremos con algunos principios clave:
- Será una prueba de baja de terceros que permitirá que las incorporaciones de terceros acepten seguir usando cookies de terceros de forma temporal.
- El registro requerirá un proceso de revisión para garantizar que la prueba de baja solo se use para funciones que afecten en gran medida los recorridos críticos del usuario, y los registros se considerarán caso por caso.
- No interferirá en las pruebas publicitarias planificadas para principios de 2024, como lo describe la CMA. Por lo tanto, esto significa que los casos de uso publicitarios no se considerarán para la prueba de baja.
Próximo paso: Publicaremos un intent en la lista de distribución blink-dev con más detalles este mes y seguiremos actualizando la documentación aquí.
Cómo preservar experiencias del usuario fundamentales
Las cookies entre sitios han sido una parte fundamental de la Web durante más de un cuarto de siglo. Esto hace que cualquier cambio, en especial un cambio drástico, sea un proceso complejo que requiere un enfoque coordinado e incremental. Si bien los atributos de cookies adicionales y las nuevas APIs centradas en la privacidad representan la mayoría de los casos de uso, hay situaciones específicas en las que queremos asegurarnos de no interrumpir la experiencia de las personas que usan esos sitios.
En primer lugar, se trata de flujos de autenticación o pago en los que un sitio de nivel superior abre una ventana emergente o redirecciona a un sitio de terceros para realizar una operación y, luego, regresa al sitio de nivel superior, lo que implica el uso de una cookie en ese recorrido de regreso o en el contexto incorporado. Nuestra intención es proporcionar un conjunto temporal de heurísticas para identificar estas situaciones y permitir las cookies de terceros durante un período limitado, lo que les dará a los sitios un período más largo para implementar los cambios necesarios.
Próximo paso: Publicaremos un Intent en la lista de distribución blink-dev con más detalles este mes y seguiremos actualizando la documentación aquí.
Cómo informar problemas con las cookies de terceros y obtener ayuda
Queremos asegurarnos de capturar las diversas situaciones en las que los sitios fallan sin cookies de terceros para garantizar que hayamos proporcionado orientación, herramientas y funcionalidad para que los sitios puedan migrar de sus dependencias de cookies de terceros. Si tu sitio o un servicio del que dependes falla con las cookies de terceros inhabilitadas, puedes enviarlo a nuestro seguimiento de fallas en goo.gle/report-3pc-broken.
Si tienes preguntas sobre el proceso de baja y el plan de Chrome, puedes informar un problema nuevo con la etiqueta "baja de cookies de terceros" en nuestro repositorio de asistencia para desarrolladores.