Se il tuo sito utilizza cookie di terze parti, è il momento di intervenire in vista del loro ritiro. Per semplificare i test, dal 4 gennaio 2024 Chrome ha limitato i cookie di terze parti per l'1% degli utenti. Chrome prevede di estendere le limitazioni relative ai cookie di terze parti al 100% degli utenti a partire dal terzo trimestre del 2024, a condizione che vengano risolti eventuali problemi di concorrenza della Competition and Markets Authority del Regno Unito.
Il nostro obiettivo con Privacy Sandbox è ridurre il monitoraggio tra siti senza disattivare la funzionalità che mantiene i contenuti e i servizi online liberamente accessibili a tutti. Il ritiro e la rimozione dei cookie di terze parti rappresentano la sfida, in quanto questi cookie consentono funzionalità fondamentali per l'accesso, la protezione dalle frodi, la pubblicità e, in generale, la possibilità di incorporare contenuti avanzati di terze parti nei tuoi siti. Tuttavia, allo stesso tempo, sono anche gli elementi chiave per il monitoraggio tra siti.
Nel nostro precedente traguardo importante, abbiamo lanciato una serie di API che offrono un'alternativa incentrata sulla privacy allo status quo attuale per casi d'uso come identità, pubblicità e rilevamento delle attività fraudolente. Ora che abbiamo implementato le alternative, possiamo iniziare a ritirare gradualmente i cookie di terze parti.
In questa serie sul conto alla rovescia per i cookie, ti illustreremo le tempistiche e le azioni immediate che puoi intraprendere per assicurarti che i tuoi siti siano preparati.
Ritiro del 1% dei cookie di terze parti e test facilitati da Chrome
Nel programma di privacysandbox.com puoi vedere due traguardi nel quarto trimestre del 2023 e nel primo trimestre del 2024, nell'ambito delle modalità di test facilitati da Chrome. Questi test sono destinati principalmente alle organizzazioni che testano le API di pertinenza e misurazione di Privacy Sandbox, ma nell'ambito di questa iniziativa disabiliteremo i cookie di terze parti per l'1% degli utenti di Chrome Stable.
Ciò significa che, dall'inizio del 2024, puoi aspettarti di vedere un aumento della percentuale di utenti di Chrome sul tuo sito con i cookie di terze parti disattivati, anche se non partecipi attivamente ai test facilitati da Chrome. Questo periodo di test continuerà fino al terzo trimestre del 2024 quando, dopo una consulenza con la CMA e in base alla risoluzione di eventuali problemi di concorrenza, prevediamo di iniziare a disattivare i cookie di terze parti per tutti gli utenti di Chrome.
Prepararsi al ritiro graduale dei cookie di terze parti
Abbiamo suddiviso la procedura in questi passaggi chiave, descritti in dettaglio di seguito, per assicurarti di essere pronto a pubblicare il tuo sito senza cookie di terze parti:
- Esegui un audit dell'utilizzo dei cookie di terze parti.
- Esegui il test per rilevare eventuali rotture.
- Per i cookie cross-site che archiviano i dati in base a ciascun sito, come un incorporamento, valuta la possibilità di utilizzare
Partitionedcon CHIPS. - Per i cookie cross-site su un piccolo gruppo di siti collegati in modo significativo, valuta la possibilità di utilizzare gli insiemi di siti web correlati.
- Per altri casi d'uso dei cookie di terze parti, esegui la migrazione alle API web pertinenti.
1. Controllare l'utilizzo dei cookie di terze parti
I cookie di terze parti possono essere identificati dal loro valore SameSite=None. Devi cercare nel codice le istanze in cui imposti l'attributo SameSite su questo valore. Se in precedenza hai apportato modifiche per aggiungere SameSite=None ai tuoi cookie intorno al 2020, queste modifiche potrebbero essere un buon punto di partenza.
Chrome DevTools
Il riquadro Rete di Chrome DevTools mostra i cookie impostati e inviati nelle richieste. Nel riquadro Applicazione puoi vedere l'intestazione Cookie in Archiviazione. Puoi sfogliare i cookie memorizzati per ogni sito a cui hai eseguito l'accesso durante il caricamento della pagina. Puoi ordinare in base alla colonna SameSite per raggruppare tutti i cookie None.
A partire da Chrome 118, la scheda Problemi di DevTools mostra il problema relativo alla modifica che provoca un errore "I cookie inviati in un contesto cross-site verranno bloccati nelle versioni future di Chrome". Il problema elenca i cookie potenzialmente interessati per la pagina corrente.
Privacy Sandbox Analysis Tool (PSAT)
Abbiamo anche creato Privacy Sandbox Analysis Tool (PSAT), un'estensione di DevTools per facilitare l'analisi dell'utilizzo dei cookie durante le sessioni di navigazione. In questo modo vengono forniti percorsi di debug per i cookie e le funzionalità di Privacy Sandbox, con punti di accesso per scoprire di più sull'iniziativa Privacy Sandbox.
L'estensione integra DevTools con funzionalità specializzate per analizzare e eseguire il debug di scenari relativi al ritiro dei cookie di terze parti e all'adozione di nuove alternative che tutelano la privacy.
Puoi scaricare l'estensione dal Chrome Web Store o accedere al repository e alla wiki di PSAT.
Controllare le terze parti che utilizzano i cookie
Se identifichi cookie impostati da terze parti, devi verificare se questi fornitori hanno piani per il ritiro dei cookie di terze parti. Ad esempio, potresti dover eseguire l'upgrade di una versione della libreria che stai usando, modificare un'opzione di configurazione nel servizio o non dover fare nulla se la terza parte gestisce in autonomia le modifiche necessarie.
2. Verificare la presenza di guasti
Puoi avviare Chrome utilizzando il flag della linea di comando --test-third-party-cookie-phaseout o, da Chrome 118, attivare chrome://flags/#test-third-party-cookie-phaseout. In questo modo, Chrome bloccherà i cookie di terze parti e garantirà l'attivazione di nuove funzionalità e mitigazioni per simulare al meglio lo stato dopo il ritiro.
Puoi anche provare a navigare con i cookie di terze parti bloccati tramite chrome://settings/cookies, ma tieni presente che il flag garantisce l'attivazione anche delle funzionalità nuove e aggiornate. Bloccare i cookie di terze parti è un buon approccio per rilevare i problemi, ma non necessariamente per verificare di averli risolti.
Se gestisci una suite di test attiva per i tuoi siti, devi eseguire due esecuzioni affiancate: una con Chrome con le impostazioni usuali e una con la stessa versione di Chrome lanciata con il flag --test-third-party-cookie-phaseout. Eventuali errori di test nella seconda esecuzione e non nella prima sono buoni candidati per verificare la presenza di dipendenze da cookie di terze parti. Assicurati di segnalare i problemi che riscontri.
Una volta identificati i cookie con problemi e compresi i relativi casi d'uso, puoi esaminare le seguenti opzioni per scegliere la soluzione necessaria.
3. Utilizzare i cookie Partitioned con CHIPS
Se il cookie di terze parti viene utilizzato in un contesto incorporato 1:1 con il sito di primo livello, ti consigliamo di utilizzare l'attributo Partitioned nell'ambito di Cookies Having Independent Partitioned State (CHIPS) per consentire l'accesso tra siti con un cookie separato utilizzato per ogni sito.
Per implementare CHIPS, aggiungi l'attributo Partitioned all'intestazione Set-Cookie:
Se imposti Partitioned, il sito attiva la memorizzazione del cookie in un cookie jar separato partizionato per sito di primo livello. Nell'esempio precedente, il cookie proviene da store-finder.site, che ospita una mappa di negozi che consente a un utente di salvare il suo negozio preferito. Se utilizzi CHIPS, quando brand-a.site incorpora store-finder.site, il valore del cookie fav_store è 123. Quando brand-b.site incorpora anche store-finder.site, imposta e invia la propria istanza partizionata del cookie fav_store, ad esempio con il valore 456.
Ciò significa che i servizi incorporati possono comunque salvare lo stato, ma non dispongono di uno spazio di archiviazione cross-site condiviso che consenta il monitoraggio cross-site.
Possibili casi d'uso: incorporamenti di chat di terze parti, incorporamenti di mappe di terze parti, incorporamenti di pagamenti di terze parti, bilanciamento del carico della CDN delle risorse secondarie, provider CMS headless, domini sandbox per la pubblicazione di contenuti utente non attendibili, CDN di terze parti che utilizzano cookie per il controllo dell'accesso, chiamate API di terze parti che richiedono cookie nelle richieste, annunci incorporati con ambito dello stato per publisher.
4. Utilizzare l'API Accesso allo spazio di archiviazione e gli insiemi di siti web correlati
Se il cookie di terze parti viene utilizzato solo su un numero limitato di siti correlati, ti consigliamo di utilizzare i set di siti web correlati (RWS) per consentire l'accesso cross-site per quel cookie nel contesto di questi siti definiti.
Per implementare la RWS, devi definire e inviare il gruppo di siti per l'insieme. Per garantire che i siti siano correlati in modo significativo, le norme per un insieme valido richiedono di raggrupparli in base a: siti associati con una relazione visibile tra loro (ad es. varianti dell'offerta di prodotti di un'azienda), domini di servizi (ad es. API, CDN) o domini con codice paese (ad es. *.uk, *.jp).
I siti possono utilizzare l'API Storage Access per richiedere l'accesso ai cookie cross-site utilizzando requestStorageAccess() o per delegare l'accesso utilizzando requestStorageAccessFor(). Quando i siti appartengono allo stesso insieme, il browser concede automaticamente l'accesso e i cookie cross-site saranno disponibili.
Ciò significa che i gruppi di siti correlati possono comunque utilizzare i cookie cross-site in un contesto limitato, ma non rischiano di condividere cookie di terze parti su siti non correlati in modo da consentire il monitoraggio tra siti.
Possibili casi d'uso: domini specifici per app, domini specifici per brand, domini specifici per paese, domini sandbox per la pubblicazione di contenuti utente non attendibili, domini di servizi per API, CDN.
5. Esegui la migrazione alle API web pertinenti
CHIPS e RWS consentono tipi specifici di accesso ai cookie cross-site, garantendo al contempo la privacy degli utenti. Tuttavia, gli altri casi d'uso dei cookie di terze parti devono eseguire la migrazione ad alternative incentrate sulla privacy.
Privacy Sandbox fornisce una serie di API appositamente progettate per casi d'uso specifici senza la necessità di cookie di terze parti:
- Federated Credential Management (FedCM) abilita i servizi di identità federata che consentono agli utenti di accedere a siti e servizi.
- I token di stato privati consentono di contrastare le attività fraudolente e lo spam scambiando informazioni limitate e non identificabili tra i siti.
- Topics consente la pubblicità basata sugli interessi e la personalizzazione dei contenuti.
- Protected Audience consente il remarketing e i segmenti di pubblico personalizzati.
- I report sull'attribuzione consentono di misurare le impressioni degli annunci e le conversioni.
Inoltre, Chrome supporta l'API Storage Access (SAA) per l'utilizzo in iframe con interazione utente. L'AA è già supportata su Edge, Firefox e Safari. Riteniamo che rappresenti un buon equilibrio per mantenere la privacy degli utenti, consentendo al contempo funzionalità cross-site essenziali con il vantaggio della compatibilità tra browser.
Tieni presente che l'API Accesso allo spazio di archiviazione mostrerà agli utenti una richiesta di autorizzazione del browser. Per offrire un'esperienza utente ottimale, lo chiederemo solo se il sito che chiama requestStorageAccess() ha interagito con la pagina incorporata e ha visitato in precedenza il sito di terze parti in un contesto di primo livello. Se la concessione va a buon fine, il sito potrà accedere ai cookie cross-site per 30 giorni. I potenziali casi d'uso sono gli embed cross-site autenticati, come i widget per i commenti dei social network, i fornitori di servizi di pagamento e i servizi video a cui hai effettuato l'iscrizione.
Se hai ancora casi d'uso dei cookie di terze parti non coperti da queste opzioni, devi segnalare il problema e valutare se esistono implementazioni alternative che non dipendono da funzionalità che possono attivare il monitoraggio tra siti.
Supporto per le aziende
Chrome gestito a livello aziendale ha comunque requisiti unici rispetto all'utilizzo generale del web. Inoltre, ci assicureremo che gli amministratori di Enterprise dispongano di controlli appropriati per il ritiro dei cookie di terze parti nei loro browser.
Come per la maggior parte degli esperimenti di Chrome, la maggior parte degli utenti finali aziendali verrà esclusa automaticamente dal 1% di utenti che testeranno il ritiro dei cookie di terze parti. Per i pochi che potrebbero essere interessati, gli amministratori aziendali possono impostare il criterio BlockThirdPartyCookies su false per disattivare i browser gestiti prima dell'esperimento e avere il tempo di apportare le modifiche necessarie per non fare affidamento su questo criterio o sui cookie di terze parti. Per saperne di più, consulta le note di rilascio di Chrome Enterprise.
Inoltre, intendiamo fornire ulteriori report e strumenti per aiutare a identificare l'utilizzo dei cookie di terze parti sui siti aziendali. Abbiamo una minore visibilità dei browser aziendali nelle metriche di utilizzo di Chrome, il che significa che è particolarmente importante per le aziende testare la presenza di errori e segnalare i problemi.
Le integrazioni SaaS Enterprise potranno utilizzare la prova del ritiro di terze parti descritta di seguito.
Richiedere più tempo con la prova relativa al ritiro di terze parti per casi d'uso non pubblicitari
Come per molti altri ritiri precedenti sul web, comprendiamo che ci siano casi in cui i siti necessitano di tempo aggiuntivo per apportare le modifiche necessarie. Quando si tratta di modifiche relative alla privacy come questa, dobbiamo anche trovare un equilibrio con i migliori interessi delle persone che utilizzano il web.
Abbiamo in programma di offrire una prova di ritiro per consentire ai siti o ai servizi utilizzati in un contesto cross-site di registrarsi per l'accesso continuo ai cookie di terze parti per un periodo di tempo limitato.
Condivideremo ulteriori dettagli man mano che i piani progrediscono, ma iniziamo con alcuni principi chiave:
- Si tratta di una prova relativa al ritiro dei cookie di terze parti che consente agli elementi incorporati di terze parti di attivare temporaneamente la continuazione dell'utilizzo dei cookie di terze parti.
- La registrazione richiederà una procedura di revisione per garantire che la prova del ritiro venga utilizzata solo per le funzioni che influiscono notevolmente sui percorsi degli utenti critici e le registrazioni verranno prese in considerazione caso per caso.
- Non interferirà con i test pubblicitari pianificati per l'inizio del 2024, come descritto dalla CMA. Di conseguenza, i casi d'uso pubblicitari non verranno presi in considerazione per la prova del ritiro.
Passaggio successivo: pubblicheremo un Intent nella mailing list blink-dev con ulteriori dettagli questo mese e continueremo ad aggiornare la documentazione qui.
Preservare le esperienze utente fondamentali
I cookie cross-site sono un elemento fondamentale del web da oltre un quarto di secolo. Ciò rende qualsiasi modifica, in particolare una modifica che comporta una rottura, un processo complesso che richiede un approccio coordinato e incrementale. Sebbene gli attributi dei cookie aggiuntivi e le nuove API incentrate sulla privacy rappresentino la maggior parte dei casi d'uso, esistono scenari specifici in cui vogliamo assicurarci di non interrompere l'esperienza degli utenti che utilizzano questi siti.
Si tratta principalmente di flussi di autenticazione o pagamento in cui un sito di primo livello apre una finestra popup o reindirizza a un sito di terze parti per un'operazione e poi torna al sito di primo livello, utilizzando un cookie nel percorso di ritorno o nel contesto incorporato. Abbiamo intenzione di fornire un insieme temporaneo di euristiche per identificare questi scenari e consentire i cookie di terze parti per un periodo di tempo limitato, dando ai siti un periodo di tempo più lungo per implementare le modifiche necessarie.
Passaggio successivo: pubblicheremo un'intenzione nella mailing list blink-dev con ulteriori dettagli entro questo mese e continueremo ad aggiornare la documentazione qui.
Segnalare problemi relativi ai cookie di terze parti e ricevere assistenza
Vogliamo assicurarci di acquisire i vari scenari in cui i siti presentano malfunzionamenti senza cookie di terze parti per garantire che abbiamo fornito linee guida, strumenti e funzionalità per consentire ai siti di migrare dalle dipendenze dei cookie di terze parti. Se il tuo sito o un servizio da cui dipendete presenta malfunzionamenti con i cookie di terze parti disabilitati, puoi segnalarlo nel nostro strumento di monitoraggio dei malfunzionamenti all'indirizzo goo.gle/report-3pc-broken.
Se hai domande sulla procedura di ritiro e sul piano di Chrome, puoi segnalare un nuovo problema utilizzando il tag "Ritiro dei cookie di terze parti" nel nostro repository di assistenza per gli sviluppatori.