Se o seu site usa cookies de terceiros, é hora de tomar providências, já que estamos nos aproximando da descontinuação deles. Para facilitar os testes, o Chrome restringiu os cookies de terceiros para 1% dos usuários a partir de 4 de janeiro de 2024. O Chrome planeja aumentar as restrições de cookies de terceiros para 100% dos usuários a partir do terceiro trimestre de 2024, sujeito à resolução de quaisquer preocupações de concorrência restantes da Autoridade de Concorrência e Mercados do Reino Unido.
Nosso objetivo com o Sandbox de privacidade é reduzir o rastreamento entre sites sem comprometer o livre acesso a serviços e conteúdo on-line. A descontinuação e a remoção de cookies de terceiros encapsulam o desafio, porque eles permitem funcionalidades essenciais em login, proteção contra fraudes, publicidade e, de modo geral, a capacidade de incorporar conteúdo rico de terceiros nos seus sites. Ao mesmo tempo, eles também são os principais elementos que permitem o acompanhamento entre sites.
No nosso marco anterior, lançamos uma série de APIs que oferecem uma alternativa focada na privacidade ao status quo atual para casos de uso como identidade, publicidade e detecção de fraudes. Com as alternativas em vigor, agora podemos começar a eliminar gradualmente os cookies de terceiros.
Nesta série de contagem regressiva para o fim dos cookies, vamos mostrar o cronograma e as ações imediatas que você pode realizar para garantir que seus sites estejam preparados.
Descontinuação de 1% dos cookies de terceiros e testes facilitados pelo Chrome
Na linha do tempo do privacysandbox.com, você pode conferir dois marcos no 4º trimestre de 2023 e no 1º trimestre de 2024, como parte dos modos de testes facilitados pelo Chrome. Esse teste é principalmente para organizações que estão testando as APIs de relevância e medição do Sandbox de privacidade. No entanto, como parte dele, vamos desativar os cookies de terceiros para 1% dos usuários do Chrome Stable.
Isso significa que, a partir do início de 2024, você vai notar um aumento na porcentagem de usuários do Chrome no seu site com cookies de terceiros desativados, mesmo que não esteja participando ativamente dos testes facilitados do Chrome. Esse período de teste vai continuar até o terceiro trimestre de 2024. Depois de consultar a CMA e de resolver qualquer preocupação sobre concorrência, planejamos desativar cookies de terceiros para todos os usuários do Chrome.
Prepare-se para a desativação gradual de cookies de terceiros
Dividimos o processo em estas etapas principais, com detalhes abaixo, para garantir que você esteja preparado para que seu site funcione sem cookies de terceiros:
- Audite o uso de cookies de terceiros.
- Teste de quebra.
- Para cookies entre sites que armazenam dados por site, como uma incorporação, considere usar
Partitionedcom CHIPS. - Para cookies entre sites em um pequeno grupo de sites vinculados de forma significativa, considere os conjuntos de sites relacionados.
- Para outros casos de uso de cookies de terceiros, migre para as APIs da Web relevantes.
1. Auditar o uso de cookies de terceiros
Os cookies de terceiros podem ser identificados pelo valor SameSite=None. Pesquise no código as instâncias em que você definiu o atributo SameSite para esse valor. Se você fez mudanças para adicionar SameSite=None aos cookies por volta de 2020, essas mudanças podem ser um bom ponto de partida.
Chrome DevTools
O painel de rede do Chrome DevTools mostra os cookies definidos e enviados nas solicitações. No painel "Application", você pode conferir o título "Cookies" em "Storage". É possível navegar pelos cookies armazenados para cada site acessado como parte do carregamento da página. Você pode classificar pela coluna SameSite para agrupar todos os cookies None.
No Chrome 118, a guia "Issues" do DevTools mostra o problema de mudança importante: "Cookies enviados no contexto entre sites serão bloqueados em versões futuras do Chrome". O problema lista os cookies potencialmente afetados para a página atual.
Ferramenta de análise de dados do Sandbox de privacidade (PSAT, na sigla em inglês)
Também criamos a Ferramenta de análise de dados do Sandbox de privacidade (PSAT, na sigla em inglês), uma extensão do DevTools para facilitar a análise do uso de cookies durante as sessões de navegação. Isso fornece caminhos de depuração para cookies e recursos do Sandbox de privacidade, com pontos de acesso para saber mais sobre a iniciativa do Sandbox de privacidade.
A extensão complementa as Ferramentas do desenvolvedor com recursos especializados para analisar e depurar cenários relacionados à descontinuação de cookies de terceiros e à adoção de novas alternativas que preservam a privacidade.
Você pode fazer o download da extensão na Chrome Web Store ou acessar o repositório e wiki do PSAT.
Verificar os terceiros que usam cookies
Se você identificar cookies definidos por terceiros, verifique se esses provedores têm planos para a descontinuação dos cookies de terceiros. Por exemplo, pode ser necessário fazer upgrade da versão de uma biblioteca que você está usando, mudar uma opção de configuração no serviço ou não realizar nenhuma ação se os terceiros estiverem fazendo as mudanças necessárias.
2. Testar a interrupção
É possível iniciar o Chrome usando a flag de linha de comando --test-third-party-cookie-phaseout ou, no Chrome 118, ativar chrome://flags/#test-third-party-cookie-phaseout. Isso vai configurar o Chrome para bloquear cookies de terceiros e garantir que novas funcionalidades e mitigações estejam ativas para simular melhor o estado após a desativação.
Você também pode tentar navegar com cookies de terceiros bloqueados usando chrome://settings/cookies, mas saiba que a flag garante que a funcionalidade nova e atualizada também esteja ativada. Bloquear cookies de terceiros é uma boa abordagem para detectar problemas, mas não necessariamente valida que você os corrigiu.
Se você mantém um conjunto de testes ativo para seus sites, faça duas execuções lado a lado: uma com o Chrome nas configurações usuais e outra com a mesma versão do Chrome iniciada com a flag --test-third-party-cookie-phaseout. Qualquer falha de teste na segunda execução e não na primeira é um bom candidato para investigar dependências de cookies de terceiros. Informe os problemas que encontrar.
Depois de identificar os cookies com problemas e entender os casos de uso deles, você pode usar as opções a seguir para escolher a solução necessária.
3. Usar cookies Partitioned com CHIPS
Quando o cookie de terceiros é usado em um contexto incorporado 1:1 com o site de nível superior, considere usar o atributo Partitioned como parte dos cookies com estado particionado independente (CHIPS, na sigla em inglês) para permitir o acesso entre sites com um cookie separado usado por site.
Para implementar o CHIPS, adicione o atributo Partitioned ao cabeçalho Set-Cookie:
Ao definir Partitioned, o site armazena o cookie em um cookie jar separado particionado por site de nível superior. No exemplo acima, o cookie vem de store-finder.site, que hospeda um mapa de lojas que permite que o usuário salve a loja favorita. Ao usar o CHIPS, quando brand-a.site incorpora store-finder.site, o valor do cookie fav_store é 123. Quando brand-b.site também incorpora store-finder.site, ele define e envia a própria instância particionada do cookie fav_store, por exemplo, com o valor 456.
Isso significa que os serviços incorporados ainda podem salvar o estado, mas não têm armazenamento compartilhado entre sites que permita o rastreamento entre sites.
Possíveis casos de uso:incorporação de chat, mapa e pagamento de terceiros, balanceamento de carga de subrecursos do CDN, provedores de CMS sem servidor, domínios de sandbox para veicular conteúdo de usuários não confiáveis, CDNs de terceiros que usam cookies para controle de acesso, chamadas de API de terceiros que exigem cookies em solicitações, anúncios incorporados com escopo de estado por editor.
4. Usar a API Storage Access e conjuntos de sites relacionados
Se o cookie de terceiros for usado apenas em um pequeno número de sites relacionados, use Conjuntos de sites relacionados (RWS, na sigla em inglês) para permitir o acesso entre sites desse cookie no contexto desses sites definidos.
Para implementar o RWS, você precisa definir e enviar o grupo de sites para o conjunto. Para garantir que os sites estejam relacionados de forma significativa, a política de um conjunto válido exige que eles sejam agrupados por: sites associados com uma relação visível entre si (por exemplo, variantes da oferta de produtos de uma empresa), domínios de serviço (por exemplo, APIs, CDNs) ou domínios de código de país (por exemplo, *.uk, *.jp).
Os sites podem usar a API Storage Access para solicitar acesso a cookies entre sites usando requestStorageAccess() ou delegar acesso usando requestStorageAccessFor(). Quando os sites estão no mesmo conjunto, o navegador concede acesso automaticamente, e os cookies entre sites ficam disponíveis.
Isso significa que grupos de sites relacionados ainda podem usar cookies entre sites em um contexto limitado, mas não correm o risco de compartilhar cookies de terceiros em sites não relacionados de uma forma que permita o rastreamento entre sites.
Possíveis casos de uso:domínios específicos do app, da marca ou do país, sandbox para veicular conteúdo de usuários não confiáveis, domínios de serviço para APIs e CDNs.
5. Migrar para as APIs da Web relevantes
O CHIPS e o RWS permitem tipos específicos de acesso de cookies entre sites, mantendo a privacidade do usuário. No entanto, os outros casos de uso de cookies de terceiros precisam migrar para alternativas com foco na privacidade.
O Sandbox de privacidade oferece várias APIs desenvolvidas para casos de uso específicos sem a necessidade de cookies de terceiros:
- O gerenciamento de credenciais federadas (FedCM, na sigla em inglês) ativa os serviços de identidade federada, permitindo que os usuários façam login em sites e serviços.
- Os tokens de estado particular (link em inglês) permitem a proteção contra fraudes e spam ao trocar informações limitadas e não identificáveis entre sites.
- A API Topics ativa a publicidade com base em interesses e a personalização de conteúdo.
- A API Protected Audience ativa o remarketing e os públicos-alvo personalizados.
- A API Attribution Reporting permite medir impressões de anúncios e conversões.
Além disso, o Chrome oferece suporte à API Storage Access (SAA, na sigla em inglês) para uso em iframes com interação do usuário. O SAA já tem suporte no Edge, Firefox e Safari. Acreditamos que ele oferece um bom equilíbrio para manter a privacidade do usuário e, ao mesmo tempo, permitir a funcionalidade entre sites com o benefício da compatibilidade entre navegadores.
A API Storage Access vai mostrar uma solicitação de permissão do navegador aos usuários. Para oferecer uma experiência ideal ao usuário, só vamos solicitar que ele faça isso se o site que chama requestStorageAccess() tiver interagido com a página incorporada e visitado o site de terceiros em um contexto de nível superior. Uma concessão bem-sucedida permite o acesso a cookies entre sites para esse site por 30 dias. Os possíveis casos de uso são incorporações autenticadas entre sites, como widgets de comentários de redes sociais, provedores de pagamento e serviços de vídeo por assinatura.
Se você ainda tiver casos de uso de cookies de terceiros que não estejam cobertos por essas opções, informe o problema para nós e considere se há implementações alternativas que não dependem de funcionalidades que podem ativar o rastreamento entre sites.
Suporte empresarial
O Chrome gerenciado pela empresa sempre tem requisitos diferentes em comparação com o uso geral da Web. Vamos garantir que os administradores do Enterprise tenham controles adequados sobre a descontinuação dos cookies de terceiros nos navegadores.
Assim como na maioria dos experimentos do Chrome, a maioria dos usuários finais corporativos será excluída automaticamente da descontinuação de 1% dos cookies de terceiros. Para os poucos que podem ser afetados, os administradores corporativos podem definir a política BlockThirdPartyCookies como false para desativar os navegadores gerenciados antes do experimento e permitir que as mudanças necessárias sejam feitas para não depender dessa política ou de cookies de terceiros. Saiba mais nas notas da versão do Chrome Enterprise.
Também pretendemos oferecer mais relatórios e ferramentas para ajudar a identificar o uso de cookies de terceiros em sites corporativos. Temos menos visibilidade dos navegadores corporativos nas métricas de uso do Chrome, o que significa que é especialmente importante para as empresas testarem a quebra e nos informarem sobre os problemas.
As integrações de SaaS empresariais poderão usar o teste de descontinuação de terceiros descrito abaixo.
Solicitar mais tempo com o teste de descontinuação de terceiros para casos de uso que não sejam de publicidade
Assim como aconteceu com muitas descontinuações anteriores na Web, sabemos que há casos em que os sites precisam de mais tempo para fazer as mudanças necessárias. Quando se trata de mudanças relacionadas à privacidade, como essa, também precisamos equilibrar isso com os melhores interesses das pessoas que usam a Web.
Planejamos oferecer um teste de descontinuação para que sites ou serviços usados em um contexto entre sites possam se registrar e manter o acesso a cookies de terceiros por um período limitado.
Vamos compartilhar mais detalhes à medida que os planos forem avançando, mas vamos começar com alguns princípios importantes:
- Será um teste de descontinuação de terceiros, que permite que as incorporações de terceiros continuem usando cookies de terceiros temporariamente.
- O registro vai exigir um processo de análise para garantir que o teste de descontinuação seja usado apenas para funções que afetam muito as jornadas de usuário críticas. Os registros serão considerados caso a caso.
- Ele não vai interferir nos testes de publicidade planejados para o início de 2024, conforme descrito pela CMA. Isso significa que os casos de uso de publicidade não serão considerados para o teste de descontinuação.
Próxima etapa:vamos publicar uma Intent na lista de e-mails blink-dev com mais detalhes neste mês e continuar atualizando a documentação aqui.
Preservar experiências importantes do usuário
Os cookies entre sites são uma parte essencial da Web há mais de um quarto de século. Isso torna qualquer mudança, especialmente uma mudança de interrupção, um processo complexo que requer uma abordagem coordenada e incremental. Embora os atributos de cookie adicionais e as novas APIs com foco na privacidade sejam responsáveis pela maioria dos casos de uso, há cenários específicos em que queremos garantir que não haja interrupção da experiência para as pessoas que usam esses sites.
Geralmente, são fluxos de autenticação ou pagamento em que um site de nível superior abre uma janela pop-up ou redireciona para um site de terceiros para uma operação e depois retorna ao site de nível superior, usando um cookie nessa jornada de retorno ou no contexto incorporado. Vamos oferecer um conjunto temporário de heurísticas para identificar esses cenários e permitir cookies de terceiros por um período limitado, aos sites mais tempo para implementar as mudanças necessárias.
Próxima etapa:vamos publicar uma intent na lista de e-mails blink-dev com mais detalhes neste mês e continuar atualizando a documentação aqui.
Como informar problemas com cookies de terceiros e receber ajuda
Queremos garantir que estamos capturando os vários cenários em que os sites falham sem cookies de terceiros para garantir que fornecemos orientações, ferramentas e recursos adequados para que os sites migrem para fora das dependências de cookies de terceiros. Se o seu site ou o serviço do qual você depende está falhando com os cookies de terceiros desativados, envie o problema para o rastreador de falhas em goo.gle/report-3pc-broken.
Se você tiver dúvidas sobre o processo de descontinuação e o plano do Chrome, informe um novo problema usando a tag "descontinuação de cookies de terceiros" no repositório de suporte a desenvolvedores.