Kekse schmecken am besten frisch. Welche neuen Rezepte gibt es, damit du die Gruselzeit auch ohne altbackene Kekse genießen kannst?
Kekse schmecken am besten frisch. Welche Rezepte gibt es also, damit du die gruselige Jahreszeit auch ohne altbackene Kekse genießen kannst?
Wir sind dabei, Drittanbieter-Cookies auf der Webplattform einzustellen. Das ist ein wichtiger Meilenstein bei der Bekämpfung des websiteübergreifenden Trackings, aber es ist Teil eines ziemlich langen Prozesses. Sehen wir uns an, was wir bisher erreicht haben und was uns in Zukunft erwartet…
Auf den ersten Blick bieten Cookies einen einfachen Schlüssel/Wert-Speicher, der zwischen dem Browser und dem Server gesendet wird. Das kann nützliche Funktionen auf einer Website bieten, z. B. das Speichern einer Einstellung: theme=bats oder das Speichern der Sitzungs-ID für einen angemeldeten Nutzer.
Wenn dieses Cookie auf derselben Website verwendet wird, auf der es gesetzt wurde, wird es in der Regel als eigenes Cookie bezeichnet. Wenn es auf einer anderen Website als derjenigen verwendet wird, auf der es gesetzt wurde, sprechen wir von einem Drittanbieter-Cookie. Mein theme=bats-Cookie ist beispielsweise ein selbst gesetztes Cookie, wenn ich die Website besuche, auf der es gesetzt wurde. Wenn es jedoch in einem Iframe oder einer anderen websiteübergreifenden Ressource als Teil einer anderen Website enthalten ist, handelt es sich um ein Drittanbieter-Cookie.
Das Problem mit Drittanbieter-Cookies besteht darin, dass sie websiteübergreifendes Tracking ermöglichen. Anstatt ein Thema festzulegen, speichert der freigegebene Dienst möglicherweise eine ganze Kennung. Diese Kennung wird dann gesendet, wenn Sie verschiedene Websites aufrufen, die ein gemeinsames Dienst-Cookie enthalten. Das bedeutet, dass ein Dienst Ihre Aktivitäten auf diesen Websites beobachten und verknüpfen kann.
Eigene Cookies standardmäßig zulassen
Wir haben bereits Fortschritte gemacht. Bisher wurde ein einfaches Cookie gesetzt: theme=pumpkins wurde in allen Kontexten gesendet: innerhalb der Website oder websiteübergreifend. Die meisten Websites möchten, dass ihre Cookies nur im Kontext derselben Website gesendet werden. Das kann über das SameSite-Attribut im Cookie gesteuert werden. Beispiel:
Set-Cookie: theme=bats; SameSite=Lax
Dadurch wird der Browser angewiesen, das Cookie nur zu senden, wenn die Ressource mit der Website der obersten Ebene übereinstimmt. Das bedeutete jedoch, dass die Website angeben musste, wann das selbst gehostete Cookie verwendet werden sollte. Das ist aus Sicherheitsgründen etwas ungünstig, da Sie eigentlich fragen sollten, wenn Sie mehr Berechtigungen benötigen, anstatt sie standardmäßig zu erhalten.
SameSite=Lax ist jetzt die Standardeinstellung. Wenn Sie nur theme=bats festlegen, wird der Parameter nur im Kontext derselben Website gesendet.
Wenn Sie ein websiteübergreifendes oder Drittanbieter-Cookie benötigen (z. B. wenn das Design in einem eingebetteten Widget angezeigt werden soll), müssen Sie Folgendes angeben:
Set-Cookie: theme=bats; SameSite=None; Secure
Dadurch wird dem Browser mitgeteilt, dass das Cookie in einem websiteübergreifenden Kontext gesendet werden soll. Wir möchten es jedoch auf sichere Verbindungen beschränken.
Noch schmackhaftere eigene Cookies
Das Standardrezept wurde zwar etwas verbessert, es gibt aber noch Verbesserungsmöglichkeiten. Hier ein kurzer Überblick:
Set-Cookie: __Host-theme=bats;
Secure;
Path=/;
HttpOnly;
Max-Age=7776000;
SameSite=Lax;
So erhalten Sie ein selbst gehostetes Cookie, das auf eine einzige Domain beschränkt bleibt, sichere Verbindungen bietet, keinen Zugriff über JavaScript ermöglicht, automatisch abläuft, bevor es ungültig wird, und (natürlich!) nur in SameSite-Kontexten zulässig ist.
Kekse schmecken mit CHIPS besser!
Einer der magischen Aspekte des Webs ist die Möglichkeit, mehrere Websites zusammenzustellen. Angenommen, ich möchte ein Karten-Widget erstellen, mit dem andere Websites die besten Kürbisfelder oder die besten Routen für das Trick-or-Treating anzeigen können. Mein Dienst verwendet ein Cookie, damit Nutzer ihren Fortschritt auf der Route speichern können. Das Problem ist, dass dasselbe Drittanbieter-Cookie auf der Website des Kürbisfeldes und auf der Website für das Trick-or-Treating gesendet wird. Ich möchte Nutzer nicht zwischen Websites verfolgen, aber der Browser verwendet nur einen Cookie-Jar. Ich kann diese Nutzung nicht trennen.
Hier kommt der Vorschlag „Cookies Having Independent Partitioned State“ (CHIPS) ins Spiel. Anstatt eines gemeinsamen Cookie-Jars gibt es ein separates und partitioniertes Cookie-Jar pro Top-Level-Website. Websites müssen dazu das Partitioned-Attribut für ihr Cookie verwenden.
Set-Cookie: __Host-route=123;
SameSite=None;
Secure;
Path=/;
Partitioned;
Anstatt den Keksvorrat teilen zu müssen, bekommt jeder seinen eigenen! Einfacher, sicherer und hygienischer.
Wir haben gerade die Intent to ship für Cookies mit unabhängigem partitioniertem Status (CHIPS) in Chrome 109 gesendet. Das bedeutet, dass sie im Dezember in der Betaversion und dann im Januar 2023 in der stabilen Version verfügbar sein werden. Wenn Sie also einen guten Vorsatz für das neue Jahr haben möchten, um das Cookie-Rezept Ihrer Website zu verbessern, sehen Sie sich an, ob Sie CHIPS in diese websiteübergreifenden Cookies einstreuen können.
Cookies mit First-Party-Sets zur Party einladen
Viele von Ihnen haben uns auch mitgeteilt, dass es Situationen gibt, in denen Sie Dienste auf von Ihnen kontrollierten Websites teilen und Cookies für alle Websites verwenden möchten, aber nicht zulassen möchten, dass sie in echten Drittanbieterkontexten gesendet werden. Angenommen, Sie haben pretty-pumpkins.com und pretty-pumpkins.co.uk. Möglicherweise haben Sie ein cookiebasiertes SSO-System, das für diese Websites funktioniert. CHIPS würde nicht funktionieren, da ich mich nur auf beiden Websites anmelden müsste. Die Anforderung besteht darin, dass ich auf diesen verknüpften Websites dasselbe Cookie benötige.
Wir arbeiten an dem Vorschlag für First-Party-Sets, um dies zu ermöglichen. Wir haben einen Test zur Herkunft durchgeführt und viele Diskussionen in der Community geführt. Das hat uns zu der neuesten Version geführt, die Folgendes erreichen soll:
- Organisationen eine Möglichkeit bieten, eine Gruppe von Websites zu definieren, die derselben Partei zugewiesen werden sollen.
- Verwenden Sie die Storage Access API, um Zugriff auf websiteübergreifende Cookies in diesem Set mit selbst erhobenen Daten anzufordern.
Diese Cookies sind noch nicht fertig, aber Sie können sich den Entwicklerleitfaden zu Erstanbieter-Sets ansehen, sobald es mehr zu testen gibt. Wenn Sie sich an der Diskussion beteiligen möchten, können Sie sich auch den Vorschlag WICG/first-party-sets ansehen.
Lass deine Cookies nicht alt werden!
Unser Ziel ist es, die Unterstützung für Drittanbieter-Cookies in Chrome ab Mitte 2024 schrittweise einzustellen. Sie haben noch Zeit, sich vorzubereiten, aber Sie sollten jetzt mit der Planung beginnen.
- Prüfen Sie Ihren Code auf Cookies mit
SameSite=None. Für diese Cookies sind Updates erforderlich. - Wenn Sie keine Drittanbieter-Cookies verwenden, sollten Sie dafür sorgen, dass Ihre Website-Cookies die besten Rezepte für eigene Cookies verwenden.
- Wenn Sie diese Cookies in einem vollständig eingebetteten Kontext verwenden, sollten Sie den CHIPS-Vorschlag prüfen und testen.
- Wenn Sie diese Cookies auf mehreren Websites benötigen, die eine zusammenhängende Gruppe bilden, sehen Sie sich den Vorschlag für Sets mit selbst erhobenen Daten an.
- Wenn Sie nicht unter eine dieser Optionen fallen, müssen Sie sich die anderen Privacy Sandbox-Vorschläge ansehen. Dort entwickeln wir spezielle APIs für einzelne Anwendungsfälle, die nicht auf websiteübergreifendem Tracking basieren.
Das ist nur ein kurzer Überblick. Wir werden im Laufe der Zeit weitere Neuigkeiten und Informationen veröffentlichen. Wenn Sie Fragen oder Probleme haben oder die Ergebnisse Ihrer eigenen Arbeit teilen möchten, haben Sie viele Möglichkeiten, sich mit uns in Verbindung zu setzen.
Also denk daran: Kekse können lecker sein – aber nur ein paar auf einmal und auf keinen Fall solltest du versuchen, die Kekse anderer zu stehlen!