Kue paling enak jika masih segar. Jadi, apa resep terbaru untuk memastikan Anda tetap dapat menikmati musim seram tanpa kue yang sudah basi?
Kue paling enak jika masih segar. Jadi, apa resep terbaru untuk memastikan Anda masih dapat menikmati musim seram tanpa kue yang sudah basi?
Kami sedang dalam proses menghentikan penggunaan cookie pihak ketiga di seluruh platform web. Ini adalah pencapaian besar dalam mengatasi pelacakan lintas situs, tetapi ini merupakan bagian dari perjalanan yang cukup panjang. Mari kita lihat sejauh mana kita telah melangkah dan apa yang akan kita dapatkan di masa mendatang…
Secara umum, cookie menyediakan penyimpanan nilai kunci sederhana yang dikirim antara browser dan server. Hal ini dapat memberikan fungsi yang berguna di situs seperti
menyimpan preferensi: theme=bats atau menyimpan ID sesi untuk pengguna
yang login.
Jika cookie tersebut digunakan di situs yang sama dengan yang menetapkannya, kami cenderung menyebutnya sebagai cookie pihak pertama. Jika cookie digunakan sebagai bagian dari situs yang berbeda dengan situs yang menyetelnya, kami menyebutnya sebagai cookie pihak ketiga. Misalnya, cookie
theme=bats saya akan menjadi pihak pertama jika saya mengunjungi situs yang sama yang menetapkannya, tetapi jika cookie tersebut disertakan dalam iframe atau resource lintas situs lainnya sebagai bagian dari
situs yang berbeda, cookie tersebut akan menjadi cookie pihak ketiga.
Masalah dengan cookie pihak ketiga adalah cookie tersebut dapat mengaktifkan pelacakan lintas situs. Daripada menetapkan sesuatu seperti tema, layanan bersama mungkin menyimpan seluruh ID di sana. ID yang sama kemudian dikirim saat Anda membuka berbagai situs yang menyertakan cookie layanan bersama—yang berarti satu layanan dapat mengamati dan menautkan aktivitas Anda di seluruh situs tersebut.
Cookie pihak pertama secara default
Kita sudah membuat progres dalam perjalanan kita di sini. Dulu, hanya menetapkan cookie biasa: theme=pumpkins akan dikirim dalam semua konteks: situs yang sama atau lintas situs. Sebagian besar situs hanya ingin cookie mereka dikirim dalam konteks situs yang sama. Hal ini dapat dikontrol melalui atribut SameSite di cookie. Contoh:
Set-Cookie: theme=bats; SameSite=Lax
Tindakan ini akan memberi tahu browser untuk hanya mengirim cookie jika resource cocok dengan situs tingkat atas. Namun, hal itu berarti situs harus menentukan kapan cookie pihak pertama diperlukan. Hal ini sedikit terbalik dalam hal keamanan karena Anda sebenarnya harus meminta saat menginginkan lebih banyak hak istimewa, bukan hanya mendapatkannya secara default.
Jadi, sekarang SameSite=Lax adalah defaultnya. Jika Anda baru saja menetapkan theme=bats, theme=bats hanya akan
dikirim dalam konteks situs yang sama.
Jika Anda menginginkan cookie lintas situs atau pihak ketiga (mungkin Anda memerlukan tema yang ditampilkan di widget tersemat), Anda harus menentukan:
Set-Cookie: theme=bats; SameSite=None; Secure
Tindakan ini akan memberi tahu browser bahwa Anda ingin cookie dikirim dalam konteks lintas situs, tetapi kita ingin membatasi hanya untuk mengamankan koneksi.
Cookie pihak pertama yang lebih lezat
Meskipun default-nya sedikit lebih baik, masih ada ruang bagi Anda untuk meningkatkan resep tersebut. Berikut adalah sekilas informasinya:
Set-Cookie: __Host-theme=bats;
Secure;
Path=/;
HttpOnly;
Max-Age=7776000;
SameSite=Lax;
Tindakan ini akan memberi Anda cookie pihak pertama yang tetap dibatasi hanya untuk satu domain, koneksi aman, tidak ada akses oleh JavaScript, otomatis berakhir masa berlakunya sebelum tidak berlaku lagi, dan (tentu saja!) hanya diizinkan dalam konteks situs yang sama.
Kue lebih enak dengan CHIPS!
Salah satu aspek ajaib dari web adalah kemampuan untuk menyusun beberapa situs secara bersamaan. Misalnya, saya ingin membuat widget peta yang memungkinkan situs lain menampilkan tur labu terbaik atau rute trick-or-treating. Layanan saya menggunakan cookie agar pengguna dapat menyimpan progres mereka di sepanjang rute. Masalahnya, cookie pihak ketiga yang sama akan dikirim di situs labu seperti di situs trick-or-treating. Saya tidak ingin melacak pengguna di antara situs, tetapi browser hanya menggunakan satu cookie jar—tidak ada cara bagi saya untuk memisahkan penggunaan tersebut.
Di sinilah proposal Cookies Having Independent Partitioned State, atau CHIPS, berperan. Alih-alih satu cookie jar bersama, ada cookie jar terpisah dan
dipartisi per situs tingkat atas. Situs akan memilih untuk ikut serta dengan menggunakan
atribut Partitioned pada cookie mereka.
Set-Cookie: __Host-route=123;
SameSite=None;
Secure;
Path=/;
Partitioned;
Alih-alih harus berbagi toples kue, setiap orang mendapatkan toples kuenya sendiri. Lebih mudah, lebih aman, dan lebih higienis.
Kami baru saja mengirimkan Intent to Ship untuk Cookies Having Independent Partitioned State (CHIPS) di Chrome 109, yang berarti fitur ini akan tersedia untuk diuji di versi Beta pada bulan Desember, lalu siap untuk versi Stabil pada Januari 2023. Jadi, jika Anda mencari resolusi tahun baru untuk meningkatkan kualitas resep cookie situs, lihat dan temukan apakah Anda dapat mulai menambahkan CHIP ke cookie lintas situs tersebut.
Mengundang cookie ke sesi tonton bersama dengan Set Pihak Pertama
Terkait masukan developer, banyak dari Anda juga menjelaskan bahwa ada situasi saat Anda membagikan layanan di seluruh situs yang Anda kontrol dan ingin dapat menggunakan cookie di seluruh situs tersebut, tetapi tidak mengizinkan cookie dikirim dalam konteks pihak ketiga yang sebenarnya. Misalnya, mungkin Anda memiliki pretty-pumpkins.com dan
pretty-pumpkins.co.uk. Anda mungkin memiliki sistem login sekali klik berbasis cookie
yang berfungsi di seluruh situs ini. CHIPS tidak akan berfungsi karena saya hanya perlu
login di kedua situs—persyaratannya adalah saya memerlukan cookie yang sama di
situs terkait ini.
Kami sedang mengerjakan proposal Set Pihak Pertama untuk mencoba mewujudkannya. Kami telah melalui satu uji coba origin dan banyak diskusi komunitas yang membawa kami ke versi terbaru yang bertujuan untuk:
- Memberi organisasi cara untuk menentukan grup situs yang harus merupakan pihak yang sama satu sama lain.
- Manfaatkan Storage Access API untuk meminta akses ke cookie lintas situs di dalam set pihak pertama tersebut.
Cookie ini masih dalam proses pembuatan, tetapi Anda dapat melihat panduan developer Set Pihak Pertama jika ada lebih banyak hal yang perlu Anda uji, atau Anda dapat langsung melihat proposal WICG/first-party-sets jika ingin berkontribusi dalam diskusi.
Jangan biarkan cookie Anda menjadi basi.
Tujuan kami adalah mulai menghentikan dukungan untuk cookie pihak ketiga di Chrome mulai pertengahan tahun 2024. Ada waktu untuk bersiap, tetapi Anda harus mulai merencanakan sekarang.
- Audit kode Anda untuk menemukan cookie apa pun dengan
SameSite=None. Ini adalah cookie yang akan memerlukan update. - Jika Anda tidak memiliki cookie pihak ketiga, pastikan cookie situs yang sama menggunakan Resep cookie pihak pertama terbaik
- Jika Anda menggunakan cookie tersebut dalam konteks tersemat yang sepenuhnya berisi, maka selidiki dan uji proposal CHIPS.
- Jika Anda memerlukan cookie tersebut di beberapa situs yang membentuk satu grup yang kohesif, selidiki proposal Set Pihak Pertama.
- Jika tidak tercakup dalam salah satu opsi ini, Anda harus menyelidiki proposal Privacy Sandbox lainnya tempat kami mengembangkan API yang dibuat khusus untuk setiap kasus penggunaan yang tidak bergantung pada pelacakan lintas situs.
Ini hanyalah ringkasan singkat dan kami akan terus membagikan lebih banyak berita dan panduan seiring kemajuan pekerjaan. Jika Anda memiliki pertanyaan, masalah, atau ingin membagikan hasil pekerjaan Anda sendiri, kami memiliki banyak cara untuk menghubungi kami.
Jadi, ingatlah: kue kering bisa jadi lezat—tetapi hanya beberapa sekaligus dan jangan mencoba mencuri milik orang lain.