Las galletas son mejores cuando están frescas, así que ¿cuáles son las recetas más recientes para asegurarte de poder disfrutar de la temporada de terror sin galletas rancias?
Las galletas son mejores cuando están frescas, así que ¿cuáles son las recetas más recientes para asegurarte de poder disfrutar de la temporada de terror sin galletas rancias?
Estamos en camino de eliminar gradualmente las cookies de terceros en la plataforma web. Ese es un gran logro para abordar el seguimiento entre sitios, pero es parte de un recorrido bastante largo. Veamos qué tan lejos llegamos y qué delicias nos esperan en el futuro…
En la superficie, las cookies proporcionan un almacén de pares clave-valor simple que se envía entre el navegador y el servidor. Eso puede proporcionar una funcionalidad útil en un sitio, como guardar una preferencia: theme=bats o almacenar el ID de sesión de un usuario que accedió.
Si esa cookie se usa en el mismo sitio que la configuró, solemos llamarla cookie propia. Si se usa como parte de un sitio diferente al que la configuró, la llamamos cookie de terceros. Por ejemplo, mi cookie theme=bats sería propia si visito el mismo sitio que la configuró, pero si se incluye en un iframe o en otro recurso entre sitios como parte de un sitio diferente, sería una cookie de terceros.
El problema con las cookies de terceros es que pueden habilitar el seguimiento entre sitios. En lugar de establecer algo como un tema, el servicio compartido podría almacenar un identificador completo allí. Luego, ese mismo identificador se envía cuando navegas por diferentes sitios que incluyen la cookie de servicios compartidos, lo que significa que un servicio puede observar y vincular tu actividad en esos sitios.
Cookies propias de forma predeterminada
Ya hemos avanzado en nuestro recorrido. Antes, solo se configuraba una cookie simple: theme=pumpkins se enviaba en todos los contextos: del mismo sitio o entre sitios. La mayoría de los sitios solo quieren que sus cookies se envíen en un contexto del mismo sitio. Esto se puede controlar a través del atributo SameSite en la
cookie. Por ejemplo:
Set-Cookie: theme=bats; SameSite=Lax
Esto le indica al navegador que solo envíe la cookie si el recurso coincide con el sitio de nivel superior. Sin embargo, eso significaba que el sitio debía especificar cuándo quería la cookie propia. Eso es un poco retroactivo en términos de seguridad, ya que, en realidad, deberías preguntar cuando quieras más privilegios, no solo obtenerlos de forma predeterminada.
Por lo tanto, SameSite=Lax es la configuración predeterminada. Si solo configuras theme=bats, solo se enviará en un contexto del mismo sitio.
Si deseas una cookie de terceros o entre sitios (tal vez necesites que el tema se muestre en un widget incorporado), debes especificar lo siguiente:
Set-Cookie: theme=bats; SameSite=None; Secure
Esto le indica al navegador que deseas que la cookie se envíe en cualquier contexto entre sitios, pero queremos restringirla solo a conexiones seguras.
Cookies propias aún más sabrosas
Si bien la opción predeterminada mejoró un poco, aún puedes mejorar esa receta. Aquí tienes un resumen rápido:
Set-Cookie: __Host-theme=bats;
Secure;
Path=/;
HttpOnly;
Max-Age=7776000;
SameSite=Lax;
De esta manera, obtendrás una cookie propia que se mantendrá restringida a un solo dominio, con conexiones seguras, sin acceso de JavaScript, que vencerá automáticamente antes de que se vuelva inactiva y que, por supuesto, solo se permite en contextos de mismo sitio.
Las galletas saben mejor con CHIPS.
Uno de los aspectos mágicos de la Web es la capacidad de combinar varios sitios. Supongamos que quiero crear un widget de mapa que permita que otros sitios muestren los mejores recorridos por campos de calabazas o las mejores rutas para pedir dulces. Mi servicio usa una cookie para permitir que los usuarios almacenen su progreso a lo largo de la ruta. El problema es que esa misma cookie de terceros se enviará en el sitio del campo de calabazas y en el sitio de pedir dulces. No quiero hacer un seguimiento de los usuarios entre sitios, pero el navegador solo usa un contenedor de cookies. No hay forma de que pueda separar ese uso.
Ahí es donde entra en juego la propuesta de Cookies con estado particionado independiente, o CHIPS. En lugar de un solo cookie jar compartido, hay uno separado y particionado por sitio de nivel superior. Los sitios podrían habilitarlo usando el atributo Partitioned en su cookie.
Set-Cookie: __Host-route=123;
SameSite=None;
Secure;
Path=/;
Partitioned;
En lugar de tener que compartir el frasco de galletas, cada uno tiene el suyo. Es más simple, seguro y higiénico.
Acabamos de enviar el Intento de lanzamiento para las cookies con estado particionado independiente (CHIPS) en Chrome 109, lo que significa que estarán disponibles para probarse en la versión beta en diciembre y, luego, estarán listas para la versión estable en enero de 2023. Por lo tanto, si buscas un propósito de Año Nuevo para mejorar la receta de cookies de tu sitio, fíjate y comprueba si puedes empezar a agregar CHIPS a esas cookies entre sitios.
Cómo invitar cookies a la fiesta con First-Party Sets
En cuanto a los comentarios de los desarrolladores, muchos de ustedes también dejaron en claro que hay situaciones en las que comparten servicios en los sitios que controlan y quieren poder usar cookies en ellos, pero no permitir que se envíen en contextos de terceros reales. Por ejemplo, quizás tengas pretty-pumpkins.com y pretty-pumpkins.co.uk. Es posible que tengas un sistema de inicio de sesión único basado en cookies que funcione en todos estos sitios. CHIPS no funcionaría porque solo tendría que acceder a ambos sitios. El requisito es que necesito la misma cookie en estos sitios relacionados.
Estamos trabajando en la propuesta de conjuntos propios para intentar que esto sea posible. Realizamos una prueba de origen y muchas conversaciones con la comunidad, lo que nos llevó a la versión más reciente, cuyo objetivo es lo siguiente:
- Brinda a las organizaciones una forma de definir un grupo de sitios que deben ser del mismo propietario.
- Aprovecha la API de Storage Access para solicitar acceso a las cookies entre sitios dentro de ese conjunto propio.
Estas cookies aún están en el horno, pero puedes consultar la guía para desarrolladores de conjuntos propios cuando haya más contenido para probar, o puedes ir a la propuesta de WICG/first-party-sets si quieres contribuir a la discusión.
No dejes que tus cookies se vuelvan obsoletas.
Nuestro objetivo es comenzar a eliminar gradualmente la compatibilidad con las cookies de terceros en Chrome a partir de mediados de 2024. Tienes tiempo para prepararte, pero debes comenzar a planificar ahora.
- Audita tu código en busca de cookies con
SameSite=None. Estas son las cookies que requerirán actualizaciones. - Si no tienes cookies de terceros, asegúrate de que tus cookies del mismo sitio usen las mejores recetas de cookies propias.
- Si usas esas cookies en un contexto incorporado y completamente contenido, investiga y prueba la propuesta de CHIPS.
- Si necesitas esas cookies en varios sitios que forman un grupo cohesivo, investiga la propuesta de conjuntos propios.
- Si no te cubre ninguna de estas opciones, deberás investigar las otras propuestas de Privacy Sandbox en las que estamos desarrollando APIs diseñadas para casos de uso individuales que no dependen del seguimiento entre sitios.
Esta es solo una breve descripción general, y seguiremos compartiendo más noticias y orientación a medida que avance el trabajo. Si tienes preguntas, problemas o quieres compartir los resultados de tu trabajo, tenemos muchos medios para comunicarte.
Así que recuerda: las galletas pueden ser deliciosas, pero solo unas pocas a la vez y, definitivamente, no intentes robar las de nadie.