Jeśli Twoja witryna używa plików cookie innych firm, nadszedł czas na podjęcie działań, ponieważ zbliża się termin ich wycofania. Aby ułatwić testowanie, Chrome od 4 stycznia 2024 r. ogranicza używanie plików cookie innych firm w przypadku 1% użytkowników. W trzecim kwartale 2024 r. Chrome zamierza rozszerzyć ograniczenia dotyczące plików cookie innych firm na 100% użytkowników, pod warunkiem rozwiązania wszystkich problemów związanych z konkurencją, które zgłosił brytyjski Urząd ds. Konkurencji i Rynków.
Naszym celem w przypadku Piaskownicy prywatności jest ograniczenie śledzenia w witrynach, a jednocześnie zapewnienie funkcji, dzięki którym treści i usługi online są bezpłatnie dostępne dla wszystkich. Wycofanie i usunięcie plików cookie innych firm wiąże się z wielkimi wyzwaniami, ponieważ umożliwiają one korzystanie z funkcji logowania, ochrony przed oszustwem, reklam oraz ogólnie umożliwiają umieszczanie w witrynach bogatych treści pochodzących od innych firm. Jednocześnie są one też głównym czynnikiem umożliwiającym śledzenie między witrynami.
W ramach poprzedniego ważnego etapu wprowadziliśmy szereg interfejsów API, które stanowią alternatywę dla obecnych rozwiązań w zakresie ochrony prywatności w przypadku takich zastosowań jak identyfikacja, reklama i wykrywanie oszustw. Mając już dostępne alternatywy, możemy zacząć wycofywać pliki cookie innych firm.
W tej serii dotyczącej plików cookie omówimy harmonogram i działania, które możesz podjąć natychmiast, aby przygotować swoje witryny.
Wycofanie plików cookie innych firm w Chrome w przypadku 1% użytkowników i testy przeprowadzane przy użyciu Chrome
Na stronie privacysandbox.com/timeline znajdziesz 2 etapy w IV kwartale 2023 r. i I kwartale 2024 r., które są częścią testów przeprowadzanych przy użyciu Chrome. Testy te są przeznaczone przede wszystkim dla organizacji testujących interfejsy API Piaskownicy prywatności służące do pomiarów i oceny trafności, ale w ich ramach wyłączymy pliki cookie innych firm u 1% użytkowników stabilnej wersji Chrome.
Oznacza to, że od początku 2024 r. możesz spodziewać się zwiększonej liczby użytkowników Chrome w Twojej witrynie z wyłączonymi plikami cookie innych firm, nawet jeśli nie uczestniczysz aktywnie w testach przeprowadzanych przez Chrome. Okres testów potrwa do trzeciego kwartału 2024 roku, a po jego zakończeniu, a także po konsultacjach z brytyjskim Urzędem ds. Konkurencji i Rynków oraz rozpatrzeniu ewentualnych uwag konkurencji, zaczniemy wyłączać pliki cookie innych firm u wszystkich użytkowników Chrome.
Przygotowanie na wycofanie plików cookie innych firm
Poniżej znajdziesz szczegółowe informacje o kluczowych krokach, które należy wykonać, aby przygotować witrynę do działania bez plików cookie innych firm:
- Sprawdź, jak używasz plików cookie innych firm.
- Sprawdź, czy nie ma przerwania.
- W przypadku plików cookie między witrynami, które przechowują dane w poszczególnych witrynach, np. w ramach funkcji embed, rozważ użycie
Partitionedz użyciem CHIPS. - Jeśli chcesz używać plików cookie w różnych witrynach w małej grupie witryn, które są ze sobą powiązane, rozważ użycie zestawów powiązanych witryn.
- W przypadku innych zastosowań plików cookie innych firm przenieś je do odpowiednich interfejsów API sieciowych.
1. Sprawdzanie używania plików cookie innych firm
Pliki cookie innych firm można zidentyfikować na podstawie wartości SameSite=None. Przeszukaj kod pod kątem miejsc, w których atrybut SameSite ma tę wartość. Jeśli w okolicach 2020 r. wprowadziłeś/wprowadziłaś zmiany w plikach cookie, aby dodać do nich SameSite=None, mogą one stanowić dobry punkt wyjścia.
Narzędzia deweloperskie w Chrome
Panel Sieć w Narzędziach deweloperskich w Chrome pokazuje pliki cookie ustawione i wysłane w żądaniach. W panelu Aplikacja w sekcji Miejsce na dane znajdziesz nagłówek Pliki cookie. Podczas wczytywania strony możesz przeglądać pliki cookie przechowywane w przypadku każdej witryny. Aby pogrupować wszystkie pliki None, możesz posortować według kolumny SameSite.
Od wersji 118 Chrome na karcie Problemy w Narzędziach deweloperskich wyświetla się problem dotyczący zmiany powodującej niezgodność: „W przyszłych wersjach Chrome ciasteczka wysyłane w kontekście wielu witryn będą blokowane”. Problem zawiera listę potencjalnie dotkniętych plików cookie na bieżącej stronie.
Privacy Sandbox Analysis Tool (PSAT)
Stworzyliśmy też rozszerzenie Privacy Sandbox Analysis Tool (PSAT), czyli dodatek do Narzędzi deweloperskich, który ułatwia analizę wykorzystania plików cookie podczas sesji przeglądania. Umożliwia to debugowanie plików cookie i funkcji Piaskownicy prywatności oraz zapewnia dostęp do punktów, w których można dowiedzieć się więcej o tej inicjatywie.
Rozszerzenie uzupełnia DevTools o specjalne funkcje analizowania i debugowania scenariuszy związanych z wycofaniem plików cookie innych firm i wdrażaniem nowych alternatyw chroniących prywatność.
Możesz pobrać rozszerzenie z Chrome Web Store lub uzyskać dostęp do repozytorium i wiki PSAT.
Sprawdź, które firmy zewnętrzne używają plików cookie
Jeśli wykryjesz pliki cookie ustawione przez firmy zewnętrzne, skontaktuj się z tymi dostawcami, aby dowiedzieć się, czy mają plany wycofania plików cookie innych firm. Na przykład konieczne może być przejście na nowszą wersję używanej biblioteki lub zmiana opcji konfiguracji w usłudze, ale możliwe też, że dostawca sam wprowadzi konieczne zmiany i nie musicie podejmować żadnych działań.
2. Testowanie pod kątem awarii
Możesz uruchomić Chrome, korzystając z flagi wiersza poleceń --test-third-party-cookie-phaseout lub włączając chrome://flags/#test-third-party-cookie-phaseout w Chrome 118. W ten sposób skonfigurujesz Chrome tak, aby blokować pliki cookie innych firm i zadbać o to, aby nowe funkcje i środki zaradcze były aktywne, aby jak najlepiej symulować stan po wycofaniu.
Możesz też spróbować przeglądać strony z zablokowanymi plikami cookie innych firm za pomocą flagi chrome://settings/cookies, ale pamiętaj, że flaga zapewnia również włączenie nowych i zaktualizowanych funkcji. Blokowanie plików cookie innych firm to dobry sposób na wykrywanie problemów, ale nie zawsze potwierdza, że je rozwiązano.
Jeśli masz aktywny zestaw testów dla swoich witryn, wykonaj 2 testy obok siebie: jeden z Chrome z zwykłymi ustawieniami, a drugi z tą samą wersją Chrome uruchomioną z flagą --test-third-party-cookie-phaseout. Wszelkie niepowodzenia testów w drugim uruchomieniu, ale nie w pierwszym, mogą być spowodowane zależnościami od plików cookie innych firm. Pamiętaj, aby zgłaszać problemy, które znajdziesz.
Po zidentyfikowaniu plików cookie, które powodują problemy, i zrozumieniu ich zastosowań możesz wybrać odpowiednie rozwiązanie, korzystając z podanych niżej opcji.
3. Używanie plików cookie Partitioned z CHIPS
Jeśli plik cookie innej firmy jest używany w kontekście wbudowanym 1:1 w witrynie najwyższego poziomu, możesz rozważyć użycie atrybutu Partitioned w ramach plików cookie z niezależnym stanem partycji (ang. Cookies Having Independent Partitioned State, CHIPS), aby umożliwić dostęp do różnych witryn za pomocą osobnego pliku cookie używanego w każdej witrynie.
Aby wdrożyć CHIPS, dodaj atrybut Partitioned do nagłówka Set-Cookie:
Ustawienie wartości Partitioned oznacza, że witryna decyduje się na przechowywanie pliku cookie w oddzielnym pliku cookie podzielonym na partycje według witryn najwyższego poziomu. W tym przykładzie plik cookie pochodzi ze strony store-finder.site, która zawiera mapę sklepów i umożliwia użytkownikowi zapisanie ulubionego sklepu. Gdy brand-a.site umieszcza store-finder.site, wartość pliku cookie fav_store to 123. Gdy usługa brand-b.site umieszcza też plik cookie store-finder.site, ustawia i wysyła własną partycję pliku cookie fav_store, np. z wartością 456.
Oznacza to, że wbudowane usługi nadal mogą zapisywać stan, ale nie mają wspólnego miejsca na dane w wielu witrynach, które umożliwiałoby śledzenie w wielu witrynach.
Możliwe zastosowania: wbudowane czaty innych firm, wbudowane mapy innych firm, wbudowane systemy płatności innych firm, równoważenie obciążenia CDN pod względem zasobów podrzędnych, dostawcy bezgłowych systemów CMS, domeny piaskownicy do wyświetlania niesprawdzonych treści użytkowników, CDN innych firm korzystające z plików cookie do kontroli dostępu, wywołania interfejsu API innych firm, które wymagają plików cookie w żądaniach, wbudowane reklamy z stanem ograniczonym do konkretnego wydawcy.
4. Korzystanie z interfejsu Storage Access API i zestawów powiązanych witryn
Jeśli plik cookie innej firmy jest używany tylko w małej liczbie powiązanych witryn, możesz rozważyć użycie zbiorów powiązanych witryn (RWS), aby umożliwić dostęp do tego pliku cookie w kontekście zdefiniowanych witryn.
Aby wdrożyć RWS, musisz zdefiniować i przesłać grupę witryn dla zestawu. Aby zapewnić, że witryny są ze sobą powiązane, zasady dotyczące prawidłowego zestawu wymagają ich grupowania według: powiązanych witryn o widocznej relacji (np. warianty oferty produktowej firmy), domen usług (np. interfejsów API, sieci CDN) lub domen z kodem kraju (np. *.uk, *.jp).
Strony mogą używać interfejsu Storage Access API, aby poprosić o dostęp do plików cookie w wielu witrynach za pomocą interfejsu requestStorageAccess() lub delegować dostęp za pomocą interfejsu requestStorageAccessFor(). Gdy witryny należą do tego samego zestawu, przeglądarka automatycznie przyznaje dostęp, a pliki cookie między witrynami będą dostępne.
Oznacza to, że grupy powiązanych witryn mogą nadal używać plików cookie w różnych witrynach w ograniczonym kontekście, ale nie muszą się martwić o udostępnianie plików cookie innych firm w niepowiązanych witrynach w sposób, który umożliwia śledzenie w różnych witrynach.
Możliwe zastosowania: domeny związane z aplikacją, domeny związane z marką, domeny związane z krajem, domeny piaskownicy do wyświetlania treści od nieznanych użytkowników, domeny usług dla interfejsów API, sieci CDN.
5. Przejdź na odpowiednie interfejsy API w internecie
Interfejsy CHIPS i RWS umożliwiają dostęp do określonych typów plików cookie w wielu witrynach przy jednoczesnym zachowaniu prywatności użytkowników, ale inne przypadki użycia plików cookie innych firm muszą zostać przeniesione na alternatywne rozwiązania chroniące prywatność.
Piaskownica prywatności udostępnia interfejsy API przeznaczone do konkretnych zastosowań, które nie wymagają plików cookie innych firm:
- Interfejs Federated Credential Management (FedCM) umożliwia korzystanie z usług tożsamości sfederowanej, które pozwalają użytkownikom logować się w witrynach i usługach.
- Private State Tokens umożliwiają zapobieganie oszustwom i spamowi dzięki wymianie ograniczonych informacji, które nie umożliwiają identyfikacji użytkownika, między witrynami.
- Topics umożliwia wyświetlanie reklam opartych na zainteresowaniach i personalizację treści.
- Protected Audience umożliwia remarketing i listy niestandardowych odbiorców.
- Raporty atrybucji umożliwiają pomiar wyświetleń reklam i konwersji.
Chrome obsługuje też interfejs Storage Access API (SAA) do korzystania z ramek iframe z interakcją użytkownika. SAA jest już obsługiwane w przypadku przeglądarek Edge, Firefox i Safari. Uważamy, że jest to dobry kompromis, który pozwala zachować prywatność użytkowników, a jednocześnie umożliwia korzystanie z kluczowych funkcji w różnych witrynach z korzyścią z kompatybilności między przeglądarkami.
Pamiętaj, że interfejs Storage Access API wyświetli użytkownikom prośbę o przyznanie uprawnień w przeglądarce. Aby zapewnić użytkownikom optymalną wygodę, wyświetlimy prośbę tylko wtedy, gdy wywołująca strona requestStorageAccess() będzie zawierać interakcję z osadzoną stroną i użytkownik będzie wcześniej odwiedzał stronę zewnętrzną w kontekście najwyższego poziomu. Jeśli przyznasz dostęp, pliki cookie będą mogły być używane w tej witrynie przez 30 dni. Możliwe zastosowania to uwierzytelnione umieszczanie w wielu witrynach, np. widżetów do komentowania w sieciach społecznościowych, usług płatności czy subskrybowanych usług wideo.
Jeśli nadal masz przypadki użycia plików cookie innych firm, które nie są objęte tymi opcjami, zgłoś nam ten problem i rozważ, czy istnieją alternatywne implementacje, które nie zależą od funkcji umożliwiających śledzenie między witrynami.
Pomoc dla firm
Przeglądarka Chrome zarządzana przez firmę ma zawsze unikalne wymagania w porównaniu z ogólnym użytkowaniem internetu, dlatego zadbamy, aby administratorzy mieli kontrolę nad wycofaniem plików cookie innych firm w przeglądarkach swoich firm.
Podobnie jak w przypadku większości eksperymentów w Chrome, większość użytkowników korporacyjnych zostanie automatycznie wykluczona z wycofania plików cookie innych firm w ramach 1%. W przypadku nielicznych użytkowników, których to dotyczy, administratorzy firm mogą ustawić zasadę Blokowanie plików cookie innych firm na false, aby zrezygnować z zarządzanych przeglądarek przed rozpoczęciem eksperymentu i dać sobie czas na wprowadzenie niezbędnych zmian, aby nie polegać na tej zasadzie ani plikach cookie innych firm. Więcej informacji znajdziesz w informacjach o wersji Chrome Enterprise.
Chcemy też udostępnić dodatkowe raporty i narzędzie, które pomogą w określaniu, czy w witrynach dla firm są używane pliki cookie innych firm. Dane o użytkowaniu Chrome nie obejmują w pełni przeglądarek dla firm, dlatego firmy powinny szczególnie zwracać uwagę na testowanie na obecność błędów i zgłaszanie nam problemów.
Integracje z usługami SaaS dla firm będą mogły korzystać z testu wycofywania usług zewnętrznych opisanego poniżej.
Prośba o dodatkowy czas na testowe przywrócenie wycofanej funkcji w przypadku zastosowań innych niż reklamy
Zdajemy sobie sprawę, że tak jak w innych przypadkach wycofywania rozwiązań funkcjonujących w sieci, tak i tu mogą mieć miejsce sytuacje, w których witryny będą potrzebować więcej czasu na wprowadzenie niezbędnych zmian. W przypadku takich zmian związanych z prywatnością musimy też brać pod uwagę interesy użytkowników internetu.
Planujemy zaoferować wersję próbną wycofywania, aby umożliwić stronom i usługom używanym w kontekście wielu witryn rejestrowanie się w celu dalszego uzyskiwania dostępu do plików cookie innych firm przez ograniczony czas.
Więcej informacji podamy w miarę postępów prac, ale na początek podajemy kilka kluczowych zasad:
- Będzie to test wycofania, który pozwoli osobom korzystającym z wstawionych elementów innych firm na tymczasowe kontynuowanie używania plików cookie innych firm.
- Rejestracja wymaga procesu weryfikacji, aby upewnić się, że wersja próbna wycofania jest używana tylko w przypadku funkcji, które mają duży wpływ na kluczowe ścieżki użytkownika. Rejestracje będą rozpatrywane indywidualnie.
- Nie będzie to kolidować z testami reklam zaplanowanymi na początek 2024 r., o których wspomina CMA. Oznacza to, że w przypadku testu wycofania nie będziemy brać pod uwagę zastosowań reklamowych.
Następny krok: w tym miesiącu opublikujemy na liście mailingowej blink-dev intencję z dodatkowymi informacjami. Będziemy też dalej aktualizować dokumentację.
Zachowanie kluczowych wrażeń użytkowników
Pliki cookie w wielu witrynach są używane na stronach internetowych od ponad ćwierć wieku. W związku z tym każda zmiana, zwłaszcza zmiana powodująca przerwanie działania, jest złożonym procesem, który wymaga skoordynowanego i stopniowego podejścia. Dodatkowe atrybuty plików cookie i nowe interfejsy API chroniące prywatność są przydatne w większości przypadków użycia, ale w niektórych sytuacjach chcemy zadbać o to, aby nie zakłócać działania witryn.
Dotyczy to przede wszystkim procesów uwierzytelniania lub płatności, w których witryna najwyższego poziomu otwiera wyskakujące okienko lub przekierowuje do witryny innej firmy w celu wykonania operacji, a potem wraca do witryny najwyższego poziomu, korzystając z pliku cookie podczas tego powrotu lub w ramach kontekstu osadzenia. Zamierzamy udostępnić tymczasowy zestaw heurystyk, aby identyfikować te scenariusze i na ograniczony czas zezwalać na pliki cookie innych firm, co da witrynom więcej czasu na wprowadzenie niezbędnych zmian.
Następny krok: w tym miesiącu opublikujemy na liście mailingowej blink-dev instrukcję Intent wraz z dodatkowymi informacjami. Będziemy też dalej aktualizować dokumentację.
Zgłaszanie problemów z plikami cookie innych firm i uzyskiwanie pomocy
Chcemy uwzględnić różne scenariusze, w których witryny nie działają bez plików cookie innych firm, aby zapewnić odpowiednie wskazówki, narzędzia i funkcje umożliwiające sprawne uniezależnienie witryn od plików cookie innych firm. Jeśli po wyłączeniu plików cookie innych firm w Twojej witrynie lub usłudze, na której polegasz, wystąpi awaria, możesz zgłosić problem na stronie goo.gle/report-3pc-broken.
Jeśli masz pytania dotyczące procesu wycofywania i planu Chrome, możesz przesłać nowy problem, używając tagu „wycofanie plików cookie innych firm” w naszym repozytorium pomocy dla deweloperów.