Ürkütücü kurabiye yok

Çerezler en iyi şekilde tazeyken yenir. Peki, korku sezonunda bayat çerezlerden kaçınmak için en yeni tarifler neler?

Kurabiyeler en iyi şekilde tazeyken yenir. Peki, korku sezonunda bayat kurabiyelerden kaçınmak için en yeni tarifler neler?

Web platformunda üçüncü taraf çerezlerini kullanımdan kaldırmaya yönelik çalışmalar yapıyoruz. Bu, siteler arası izlemeyle mücadelede önemli bir aşama olsa da oldukça uzun bir yolculuğun parçasıdır. Bugüne kadar neler yaptığımıza ve gelecekte neler sunacağımıza göz atalım…

Çerezler, görünürde tarayıcı ile sunucu arasında gönderilen basit bir anahtar/değer deposu sağlar. Bu, bir sitede tercih kaydetme theme=bats veya oturum açmış bir kullanıcının oturum kimliğini depolama gibi yararlı işlevler sağlayabilir.

theme=bats veya fav_pumpkins=us-nyc gibi basit bir değer taşıyan üçüncü taraf çerezi

Bu çerez, ayarlandığı sitede kullanılıyorsa buna birinci taraf çerezi denir. Çerez, ayarlayan siteden farklı bir sitenin parçası olarak kullanılıyorsa buna üçüncü taraf çerezi denir. Örneğin, theme=bats çerezim, çerezi ayarlayan siteyi ziyaret ediyorsam birinci taraf olur. Ancak farklı bir sitenin parçası olarak bir iframe'a veya siteler arası başka bir kaynağa dahil edilmişse üçüncü taraf çerezi olur.

Üçüncü taraf çerezleriyle ilgili sorun, siteler arası izlemeyi etkinleştirebilmeleridir. Paylaşılan hizmet, tema gibi bir şey ayarlamak yerine, tanımlayıcıyı tamamen burada saklayabilir. Daha sonra, paylaşılan hizmet çerezi içeren farklı sitelerde gezindiğinizde aynı tanımlayıcı gönderilir. Bu da bir hizmetin, bu sitelerdeki etkinliğinizi gözlemleyip bağlayabileceği anlamına gelir.

Üçüncü taraf sitenin kullanıcıyı web'de izlemesine olanak tanıyan benzersiz bir kimlik taşıyan üçüncü taraf çerezi

Varsayılan olarak birinci taraf çerezleri

Bu yolculuğumuzdaki ilerlemelerden memnunuz. Eskiden, yalnızca basit bir çerez ayarlamak yeterliydi: theme=pumpkins tüm bağlamlarda (aynı site veya siteler arası) gönderilirdi. Sitelerin çoğu, çerezlerinin yalnızca aynı site bağlamında gönderilmesini ister. Bu, çerezdeki SameSite özelliği aracılığıyla kontrol edilebilir. Örneğin:

Set-Cookie: theme=bats; SameSite=Lax

Bu, tarayıcıya çerezi yalnızca kaynak üst düzey siteyle eşleşirse göndermesini söyler. Ancak bu, sitenin birinci taraf çerezini ne zaman istediğini belirtmesi gerektiği anlamına geliyordu. Güvenlik açısından bu durum biraz geriye dönüktür. Daha fazla ayrıcalık istediğinizde bunu istemeniz gerekir, varsayılan olarak ayrıcalıklara sahip olmanız doğru değildir.

Bu nedenle, varsayılan değer SameSite=Lax oldu. Yalnızca theme=bats ayarladıysanız yalnızca aynı site bağlamında gönderilir.

Varsayılan SameSite=Lax değeri, çerezin üçüncü taraf bağlamında gönderilmesini durdurur.

Siteler arası veya üçüncü taraf çerezleri kullanmak istiyorsanız (temanın yerleşik bir widget'ta gösterilmesi gerekebilir) aşağıdakileri belirtmeniz gerekir:

Set-Cookie: theme=bats; SameSite=None; Secure
Belirli SameSite=None değeri, çerezi siteler arası bağlamlarda gönderilecek şekilde işaretler.

Bu, tarayıcıya çerezin siteler arası herhangi bir bağlamda gönderilmesini istediğinizi söyler ancak yalnızca güvenli bağlantılarla sınırlamak isteriz.

Daha lezzetli birinci taraf çerezleri

Varsayılan ayar biraz daha iyi olsa da bu tarifi iyileştirmeye devam edebilirsiniz. Aşağıda bu özelliklerin kısa bir özetini bulabilirsiniz:

Set-Cookie:  __Host-theme=bats;
  Secure;
  Path=/;
  HttpOnly;
  Max-Age=7776000;
  SameSite=Lax;

Bu şekilde, yalnızca bir alanla sınırlı kalan, güvenli bağlantılar sağlayan, JavaScript tarafından erişilemeyen, geçersiz hale gelmeden önce otomatik olarak süresi dolan ve (elbette!) yalnızca aynı site bağlamlarında izin verilen bir birinci taraf çerezi elde edersiniz.

Kurabiyeler ÇİPS ile daha lezzetli olur.

Web'in büyülü yönlerinden biri, birden fazla siteyi bir araya getirme olanağıdır. Diğer sitelerin en iyi kabak tarlası turlarını veya şeker toplamaya yönelik rotaları göstermesine olanak tanıyan bir harita widget'ı oluşturmak istediğimizi varsayalım. Hizmetim, kullanıcıların rotadaki ilerleme durumlarını depolamalarına olanak tanımak için bir çerez kullanıyor. Sorun şudur: Aynı üçüncü taraf çerezi, balkabağı tarlası sitesinde de şeker toplamaya giden çocuklar sitesine de gönderilir. Kullanıcıları siteler arasında izlemek istemiyorum ancak tarayıcı yalnızca bir çerez kabı kullanıyor. Bu kullanımı ayırmam mümkün değil.

SameSite=None olan siteler arası çerezlerin tümü, ortak bir çerez kabına yerleştirilmeye devam eder.

Bağımsız Bölümlendirme Durumuna Sahip Çerezler (CHIPS) önerisi burada devreye girer. Ortak bir çerez kabı yerine her üst düzey site için ayrı ve bölümlenmiş bir çerez kabı vardır. Siteler, çerezlerinde Partitioned özelliğini kullanarak bu özelliği etkinleştiriyordu.

Set-Cookie: __Host-route=123;
  SameSite=None;
  Secure;
  Path=/;
  Partitioned;
Çerezdeki Bölümlendirilmiş özelliği, üst düzey site başına ayrı çerez kapları oluşturur

Kurabiye kavanozunu paylaşmak yerine herkese kendi kavanozu verebilirsiniz. Daha basit, daha güvenli ve daha hijyenik.

Chrome 109'da Bağımsız Bölünmüş Duruma Sahip Çerezler (CHIPS) için Yayınlama Niyeti'ni gönderdik. Bu, Aralık ayında Beta sürümünde test edilmeye hazır olacakları ve Ocak 2023'te kararlı sürüme hazır olacakları anlamına geliyor. Bu nedenle, sitenizin çerez tarifini iyileştirmek için yeni yıl hedefi arıyorsanız bu siteler arası çerezlere cips ekleyip ekleyemeyeceğinize göz atın.

First-Party Sets ile çerezleri partiye davet etme

Geliştirici geri bildirimi konusunda, çoğunuzun kontrol ettiğiniz siteler arasında hizmet paylaştığınızı ve bu sitelerde çerez kullanmak istediğinizi ancak çerezlerin gerçek üçüncü taraf bağlamlarında gönderilmesine izin vermek istemediğinizi de açıkça belirttiniz. Örneğin, pretty-pumpkins.com ve pretty-pumpkins.co.uk dosyalarınız olabilir. Bu sitelerde çalışan çerez tabanlı bir tek oturum açma sisteminiz olabilir. CHIPS işe yaramaz çünkü her iki sitede de oturum açmam gerekir. Bu ilgili sitelerde aynı çereze ihtiyacım var.

Bunu mümkün kılmak için First-Party Sets teklifi üzerinde çalışıyoruz. Bir kaynak denemesi ve birçok topluluk tartışması yaptık. Bu tartışmalar sonucunda, şu hedefleri gerçekleştirmeyi amaçlayan son sürüme ulaştık:

  • Kuruluşların, birbirleriyle aynı taraf olması gereken bir site grubu tanımlamasına olanak tanıyor.
  • Bu birinci taraf grubundaki siteler arası çerezlere erişim isteğinde bulunmak için Storage Access API'den yararlanın.
Birinci Taraf Grupları, yalnızca ilgili siteler arasında paylaşılan bir çerez kapsülüne izin verir.

Bu çerezlerin hepsi fırında pişmeye devam ediyor. Test etmeniz gereken başka şeyler olduğunda First-Party Sets geliştirici kılavuzunu inceleyebilir veya tartışmaya katkıda bulunmak isterseniz WICG/first-party-sets teklifine göz atabilirsiniz.

Çerezlerinizin bayatlamasına izin vermeyin.

Hedefimiz, 2024'ün ortalarından itibaren Chrome'da üçüncü taraf çerezlerine verilen desteği kademeli olarak sonlandırmaya başlamaktır. Hazırlanmak için zamanınız var ancak planlamaya hemen başlamalısınız.

  1. Kodunuzu SameSite=None içeren çerezler açısından denetleyin. Bunlar, güncelleme gerektiren çerezlerdir.
  2. Üçüncü taraf çerezleriniz yoksa aynı site çerezlerinizin en iyi birinci taraf çerez tariflerini kullandığından emin olun.
  3. Bu çerezleri tamamen kapsayıcı, yerleşik bir bağlamda kullanıyorsanız CHIPS önerisini inceleyip test edin.
  4. Bu çerezlere tek bir uyumlu grup oluşturan birden fazla sitede ihtiyacınız varsa birinci taraf grupları önerisini inceleyin.
  5. Bu seçeneklerden hiçbiri sizin için uygun değilse siteler arası izlemeye dayanmayan bireysel kullanım alanları için özel API'ler geliştirdiğimiz diğer Privacy Sandbox tekliflerini incelemeniz gerekir.

Bu, konuya kısa bir genel bakıştır. Çalışma ilerledikçe daha fazla haber ve rehberlik paylaşmaya devam edeceğiz. Sorularınız veya sorunlarınız varsa ya da kendi çalışmalarınızın sonuçlarını paylaşmak istiyorsanız bize ulaşmanın birçok yolu vardır.

Kurabiyeler lezzetli olabilir ancak bir seferde yalnızca birkaç tane yemelisiniz. Başkalarının kurabiyelerini kesinlikle çalmaya çalışmamalısınız.