Para facilitar os testes, o Chrome restringiu cookies de terceiros por padrão para 1% dos usuários. O Chrome planeja aumentar as restrições de cookies de terceiros para 100% dos usuários a partir do terceiro trimestre de 2024, sujeito à resolução de quaisquer preocupações de concorrência restantes da Autoridade de Concorrência e Mercados (CMA, na sigla em inglês) do Reino Unido. Para facilitar a transição, estamos oferecendo um teste de descontinuação de terceiros que permite que sites e serviços incorporados solicitem mais tempo para migrar das dependências de cookies de terceiros para casos de uso que não sejam de publicidade.
O registro para esse teste de descontinuação começou na semana de 4 de dezembro de 2023. O teste de descontinuação vai começar em janeiro de 2024 e terminar em 27 de dezembro de 2024. Os desenvolvedores precisam fazer as mudanças necessárias e criar planos até a data de término do teste.
Sabemos que há um curto período entre a abertura dos registros de teste de descontinuação e o início do período de teste facilitado do Chrome, que bloqueia 1% dos cookies. Para resolver essas restrições de tempo, o Chrome está oferecendo um período de carência para as origens participantes enquanto elas trabalham para implantar tokens de teste de descontinuação. Durante o período de carência, que vai até 30 de junho de 2024, as origens registradas para o teste de descontinuação vão ter acesso a cookies de terceiros no Chrome, mesmo que ainda não tenham implantado os tokens. O objetivo desse período de carência é evitar problemas de compatibilidade da Web durante a fase de transição. As origens participantes precisam implantar tokens de teste de descontinuação antes do final do período de carência.
Testes de descontinuação
Os testes de descontinuação são uma opção padrão que o Chrome oferece para permitir que os sites se registrem por mais tempo para migrar da funcionalidade legada que está sendo removida. Um teste de descontinuação é um tipo de teste de origem que permite que um recurso seja reativado temporariamente.
Este teste é para as incorporações e os serviços que definem cookies de terceiros e que atendem aos nossos critérios de qualificação descritos na seção a seguir. Em outras palavras, se a incorporação ou o serviço for de terceiros, você poderá se inscrever no teste de descontinuação para reativar temporariamente os cookies de terceiros em todos os contextos em que a incorporação ou o serviço forem incluídos. O teste se aplica apenas à origem incorporada registrada, e não a todo o domínio de nível superior do site que os usuários visitam.
Os sites de nível superior que usam terceiros que dependem de cookies não precisam se inscrever neste teste de descontinuação. Você precisa auditar os cookies de terceiros usados no seu site e entrar em contato com os provedores de terceiros para garantir que eles estejam preparados para a descontinuação.
Critérios de qualificação e processo de análise
Esse teste de descontinuação é diferente dos anteriores porque inclui um processo de análise e aprovação para participação. Isso é para encontrar um equilíbrio entre melhorar a privacidade das pessoas na Web, permitindo que os serviços de que elas dependem solicitem mais tempo para migrar, se necessário.
Os princípios que orientam esse teste de descontinuação são:
- Preservar a funcionalidade crítica do usuário:este teste de descontinuação é destinado a provedores de terceiros que demonstram quebra funcional nas jornadas do usuário.
- Limitação do rastreamento do usuário:o teste de descontinuação não tem como objetivo oferecer suporte ao rastreamento entre sites para fins de publicidade. Portanto, as incorporações e os serviços de terceiros usados para publicidade não são qualificados.
A não qualificação dos casos de uso de publicidade também vai ajudar a garantir que o teste de descontinuação não interfira nos testes do setor planejados para o início de 2024, conforme descrito pela Autoridade de Concorrência e Mercados. Isso inclui domínios relacionados à publicidade que também são usados para fins não publicitários.
Inicialmente, o Chrome vai trabalhar com o Disconnect.me, um líder do setor em privacidade na Internet, e implementar as listas de proteção de rastreadores do Disconnect para identificar os scripts e domínios categorizados como publicidade. O recurso de desconexão já é usado por outros navegadores para finalidades semelhantes na Web.
O processo a seguir será aplicado para solicitações de registro:
- Se a origem de terceiros corresponder a um domínio de publicidade conhecido, incluindo se a origem corresponder a uma entrada na lista de publicidade do Disconnect, a solicitação de registro será rejeitada. Em geral, as entradas na lista correspondem a todos os subdomínios abaixo da origem especificada. No entanto, algumas entradas incluem um elemento de caminho. Essas entradas mais específicas vão corresponder à origem especificada, mas não aos subdomínios.
- É necessário fornecer etapas para reproduzir uma experiência do usuário com falha. Em particular, essa deve ser uma experiência para o usuário que opera o dispositivo em que o cookie está armazenado, e não um usuário que realiza uma análise posterior dos dados. Se não for possível validar uma experiência do usuário com falha, a solicitação de registro será rejeitada.
- Caso contrário, a solicitação de registro será aprovada.
- Se você declarar que uma origem é "semelhante" a um aplicativo aprovado anteriormente, forneça uma descrição da relação entre as origens.
Planejamos oferecer um processo de contestação se a origem do registro acreditar que mais informações podem esclarecer uma decisão de análise. O registrante pode solicitar uma contestação reenviando a solicitação no console de teste de origem. A intenção das contestações é para solicitações que foram rejeitadas devido à falta de informações solicitadas (bugs de quebra conhecidos e/ou etapas de repetição de quebra) e/ou se a origem de registro acredita que mais informações podem atender a esses requisitos para esclarecer uma decisão de análise.
Também aprovamos casos de uso antiabuso e antifraude em que encontramos evidências que comprovam isso. Pedimos feedback sobre como avaliar melhor esses casos de uso.
Solicitar o teste de descontinuação
Inclua etapas de reprodução que nossa equipe possa usar para verificar a falha funcional. Como alternativa, se for mais fácil e/ou sua funcionalidade for restrita por login ou algo semelhante, você pode fornecer um link para uma gravação das etapas para reproduzir o problema usando o Chrome DevTools Recorder.
- Acesse Teste para a descontinuação de cookies de terceiros e clique em "Registrar".
- Em "Origem da Web", informe a origem que veicula a página ou os scripts incorporados.
- A opção "Correspondência de terceiros" depende de como você precisa fornecer o
token. As opções são explicadas em mais detalhes em Adicionar o token de teste.
- Se você estiver fornecendo o token em um cabeçalho HTTP ou metatag nas suas próprias páginas incorporadas, não marque "Correspondência de terceiros".
- Se você estiver injetando o token com JavaScript em um site diferente, marque "Correspondência de terceiros".
- Se você precisar fazer as duas coisas, precisará fazer registros separados.
- Se você hospeda conteúdo entre sites em vários subdomínios, marque a opção "Preciso de um token para corresponder a todos os subdomínios da origem".
- Com essa opção selecionada, o token fornecido vai corresponder ao domínio
registrado e aos domínios abaixo dele. Por exemplo: registre
https://example.compara combinarexample.com,www.example.com,foo.example.comebar.foo.example.com. Se você registrarhttps://www.example.com, seu token vai corresponder awww.example.comefoo.www.example.com, mas não afoo.example.com. - Os tokens vão corresponder a vários subdomínios de forma semelhante à correspondência de caracteres curinga,
por exemplo,
*.<domain>. Solicite um token paraexample.com, que pode ser fornecido ema.example.com,b.example.com. O acesso a cookies de terceiros ainda será reativado apenas para as origens específicas que fornecem o token, e não para todos os subdomínios. Consulte Quais cookies são ativados quando a correspondência de subdomínio é ativada?. - Se você hospedar conteúdo entre sites em origens separadas que não estão no mesmo domínio, será necessário fazer registros separados para cada origem.
- Com essa opção selecionada, o token fornecido vai corresponder ao domínio
registrado e aos domínios abaixo dele. Por exemplo: registre
- Confirme todas as condições incluídas na "Declaração e confirmação" marcando todas as caixas.
- Envie a solicitação.
- Precisamos de mais informações para processar sua solicitação. Você vai receber
uma notificação por e-mail com um tíquete gerado automaticamente solicitando as
seguintes informações:
- O número de subdomínios vinculados à origem solicitada
- O ID ou link do bug do repositório de falhas de terceiros associado que você relatou anteriormente em goo.gle/report-3pc-broken.
- Qualquer informação/contexto adicional sobre o caso de uso/quebra que você gostaria que considerássemos. Em casos de contestação de um pedido de teste negado, explique por que/como sua origem atende aos critérios descritos para esse teste.
Depois de enviar, vamos analisar seu pedido e notificar você quando a análise for concluída ou se for necessário mais informações, além de informar se a solicitação foi aprovada ou recusada. Você também vai receber o status e o motivo do resultado. Se for aprovado, você poderá fornecer o token de teste conforme necessário. Se a solicitação for negada, siga as orientações no tíquete de solicitação.
Definir flags para testes
No momento, recomendamos que você defina as flags abaixo, disponíveis no Chrome 123, para permitir testes eficazes. Essa combinação de configurações de flag vai ajudar a replicar a experiência do usuário do Modo B.
chrome://flags/#third-party-cookie-deprecation-trial→enabled
Esse é o padrão. Permitir a participação no teste.chrome://flags/#tracking-protection-3pcd→enabled
Ativar a Proteção antirrastreamento: mostre a interface do ícone de olho na barra de endereço para permitir que o usuário ative temporariamente os cookies de terceiros para um site e forneça chrome://settings/trackingProtection em vez de chrome://settings/cookies.chrome://flags/#tpcd-metadata-grants→disabled
Faz com que o Chrome se comporte como se o período de carência não estivesse em vigor. Isso pode ser usado para verificar se o site implantou os tokens de teste de descontinuação corretamente antes do fim do período de carência (para um site sujeito a esse período).chrome://flags/#tpcd-heuristics-grants→disabled
Não permitir mitigações baseadas em heurísticas. Isso pode ser útil para testar se outras correções de longo prazo (sem cookies de terceiros) estão funcionando conforme o esperado sem mitigações heurísticas e se a participação no teste de descontinuação está funcionando como esperado.
Se você precisar testar manualmente se o período de carência está funcionando conforme o esperado,
antes de testar a implantação, será necessário ativar
chrome://flags/#tpcd-metadata-grants em vez de desativar.
Adicionar o token de teste
Consulte Começar a usar os testes de origem, Testes de origem de terceiros e Resolver problemas de testes de origem do Chrome para mais detalhes.
Inclua o token de teste em todas as respostas de página em que você quer definir ou enviar cookies em um contexto entre sites.
Fornecer o token em um cabeçalho HTTP
Se você precisar reativar os cookies de terceiros para uma página incorporada em um
iframe entre sites, inclua o cabeçalho HTTP Origin-Trial na resposta
da página:
Origin-Trial: TOKEN_GOES_HERE
Isso corresponde a não ativar a "Correspondência de terceiros" no registro de teste de descontinuação, já que você está fornecendo o token nas suas próprias respostas.
Essa resposta da página pode definir um cookie. As solicitações subsequentes para essa mesma origem, como subrecursos nessa página ou navegações dela, vão incluir os cookies entre sites do site e também podem definir cookies.
Se você precisar que os cookies entre sites estejam na primeira solicitação para sua origem na
sessão, também poderá usar o cabeçalho Critical-Origin-Trial transmitindo o
nome do teste:
Critical-Origin-Trial: Tpcd
Isso fará com que o navegador tente novamente a solicitação com cookies de terceiros ativados.
O teste de descontinuação é fornecido como um teste persistente, o que significa que, depois que o token é recebido pelo navegador, o comportamento do teste é aplicado até que um iframe seja carregado sem um token de teste presente. É recomendável enviar o token de teste em cada carga de iframe de maneira consistente.
Fornecer o token em uma metatag
Em uma página, é possível usar uma metatag no documento <head>:
<meta http-equiv="origin-trial" content="TOKEN_GOES_HERE">
A metatag vai ativar cookies entre sites para solicitações subsequentes ou JavaScript na página, mas você precisará usar o cabeçalho HTTP se precisar que os cookies atuais sejam enviados na solicitação inicial.
Injete o token com JavaScript
Se você precisar ativar cookies de terceiros para sua origem antes ou sem enviar sua própria solicitação de página, por exemplo, se cookies forem necessários em uma solicitação de imagem entre sites ou se você quiser criar um iframe com JavaScript, é possível injetar o token no site de nível superior usando JavaScript:
const otMeta = document.createElement('meta');
otMeta.httpEquiv = 'origin-trial';
otMeta.content = 'TOKEN_GOES_HERE';
document.head.append(otMeta);
Para permitir isso, ative a "Correspondência de terceiros" no registro de teste de descontinuação, já que você está injetando o token da sua origem (o terceiro) em um site diferente.
Um token com correspondência de terceiros ativada pode ser injetado em qualquer origem, incluindo a sua, e vai funcionar.
Um teste persistente ainda será desativado se um iframe for carregado sem o token de teste. É necessário fornecer o token de teste de forma consistente em todos os iframes carregados, mesmo que o teste tenha sido ativado originalmente com um carregamento de script de terceiros.
Validar seu token
Abra o DevTools e navegue até a guia "Application". Expanda a árvore "Frames" na navegação à esquerda. A seleção de qualquer frame vai mostrar uma seção de testes Origin se alguns tokens tiverem sido fornecidos. Se você estiver injetando o token no site de nível superior, ele vai aparecer na entrada "superior". Caso contrário, selecione o frame que corresponde à página incorporada.
Na seção "Testes de origem", se você tiver fornecido um token, vai aparecer uma entrada para "Tpcd". Se o recurso tiver sido ativado, o status "Ativado" vai aparecer em verde. Caso contrário, um status de erro vermelho será exibido, e você poderá expandir a entrada para conferir o problema.
É necessário apenas um token válido para ativar o teste de descontinuação. Se você se inscreveu para correspondência própria e de terceiros, não há problema se fornecer os dois tokens na página. Por exemplo, se você tiver uma única página que pode ser incorporada de maneiras diferentes, não será necessário escolher um token dinamicamente. Basta fornecer os dois, e o teste será ativado em ambos os contextos.
Quais cookies estão ativados?
O teste de descontinuação só ativa cookies de terceiros para a origem
registrada para o teste. Após a ativação, os cookies de terceiros vão estar presentes
em solicitações de iframe e de subrecurso para essa origem. Os cookies de terceiros também estarão
disponíveis com document.cookie em iframes com essa origem.
Os atributos de cookie Domain não são considerados aqui. Apenas a origem do URL da solicitação
é considerada. Quando uma solicitação é determinada a ter cookies de terceiros, todos esses
cookies são anexados normalmente, mesmo que o domínio de um cookie seja mais
permissivo.
Por exemplo, se https://one.test.example estiver registrado e o token for
fornecido em um iframe https://one.test.example:
https://one.test.example/image.jpgvai receber cookies definidos dehttps://one.test.examplehttps://one.test.example/image.jpgvai receber cookies definidos de outras origens comDomain=.test.example- As solicitações
https://test.example/image.jpgouhttps://two.test.example/image.jpgnão recebem cookies de terceiros porque não são da mesma origem.
Quais cookies são ativados quando a correspondência de subdomínio é ativada?
A opção "corresponder a todos os subdomínios" permite que um único token seja usado na origem do registro ou em qualquer origem com um subdomínio mais específico. Um token para
https://test.example com correspondência de subdomínio pode ser usado para ativar o teste
com iframes https://test.example, https://one.test.example ou
https//two.test.example e carregamentos de scripts de terceiros.
Além disso, quando a correspondência de subdomínios está ativada, os cookies de terceiros também
estão disponíveis em solicitações e em iframes associados aos subdomínios
correspondentes. Por exemplo, se https://test.example usar a correspondência de subdomínio,
as solicitações de subrecurso, como https://cdn.one.test.example/image.jpg, vão receber
cookies de terceiros.
A desativação do teste não leva em consideração a correspondência de subdomínio. Para desativar
o teste, um iframe que corresponda exatamente à origem no registro precisa ser
carregado sem um token. Portanto, um registro para https://test.example com
correspondência de subdomínio só pode ser desativado por um iframe https://test.example
sem um token. Isso pode mudar no futuro. Por isso, recomendamos fornecer um
token em todos os iframes de subframe quando você quiser ativar o teste e remover
tokens de todos os iframes quando quiser desativar o teste.
Solução de problemas com tokens de teste
Resolver problemas de testes de origem do Chrome oferece uma lista de verificação abrangente para ajudar a depurar o registro e a implantação do token de teste.
Há alguns problemas comuns que podem ocorrer com esse teste:
- Com a opção "I need a token to match all subdomains of the origin" selecionada, o token fornecido vai corresponder ao domínio registrado e aos domínios abaixo dele. Por exemplo: registre
https://example.compara corresponder aexample.com,www.example.com,foo.example.comebar.foo.example.com. Se você registrarhttps://www.example.com, seu token vai corresponder awww.example.comefoo.www.example.com, mas não afoo.example.com. - Sites ou serviços de terceiros incorporados ao seu site precisam se inscrever no teste. Não se inscreva para um domínio que você não controla/possui.
- Se você cometer um erro no registro de teste da origem, será necessário fazer um novo registro para corrigir os erros e receber um novo token.
Perguntas frequentes
- E se eu tiver dúvidas sobre a lista do Disconnect.me?
- Entre em contato com o Disconnect em support@disconnect.me, porque não administramos a lista do Disconnect. Para mais informações, consulte a página de proteção contra rastreadores.
- Posso me inscrever no teste de descontinuação se meu domínio for usado para fins
publicitários e não publicitários?
- As incorporação e os serviços de terceiros usados para publicidade não estão qualificados para o teste de descontinuação pelos motivos explicados anteriormente neste blog. Isso inclui domínios relacionados à publicidade que também são usados para fins não publicitários. Para mais informações, consulte a seção Critérios de qualificação e processo de análise.
- Os sites vão poder saber quais dos parceiros se inscreveram no teste de descontinuação? Será possível limitar o registro para os
parceiros?
- Sim, os sites podem saber quais incorporações e serviços dependem de um token de teste de descontinuação, conferindo as informações do token no painel de aplicativos do Chrome DevTools. Consulte Resolver problemas de testes de origem do Chrome para mais informações.
- Os sites de nível superior não poderão limitar o registro entre os parceiros ou as incorporações e os serviços na página. Entre em contato com o parceiro se quiser.
- Qual é a diferença entre esse teste e outros, como o teste de origem de redução do User-Agent?
- A principal diferença desse teste de descontinuação é o novo processo de registro, que envolve atender aos critérios de participação e a nova interface/páginas no console de teste de origem.
- A segunda diferença é que ela é exclusiva para sites incorporados de terceiros para resolver o máximo de problemas de compatibilidade da Web em vários clientes de sites/serviços.
- Haverá um teste de descontinuação de cookies próprios para descontinuação de cookies
de terceiros em que os sites de nível superior poderão se inscrever para ativar cookies
de terceiros em todo o site?
- No momento, estamos focando em incorporações e serviços de terceiros. Recomendamos que os sites próprios continuem fazendo mudanças diretamente nos sites para corrigir o problema e incentivar terceiros incorporados a se inscrever no teste de descontinuação.
- Quanto tempo leva para analisar meu pedido de teste de descontinuação? Onde posso
verificar o status da minha inscrição?
- Os tempos de resposta podem variar. Recomendamos que você inicie o processo de registro assim que possível para garantir que estará pronto antes da descontinuação de 1% dos cookies de terceiros no início do primeiro trimestre. Se você não receber uma resposta em até duas semanas após enviar o registro, entre em contato com 3pcd-deprecationtrial@google.com.
- Linha de execução do bug para conversa aberta, status da decisão e justificativa.
- Nosso registro de teste de descontinuação foi aprovado, e implantamos um
token de teste conforme recomendado. No entanto, o teste de descontinuação não está funcionando como
esperado. O que devemos fazer?
- Resolver problemas de testes de origem do Chrome fornece uma lista de verificação para resolver problemas de testes de origem. Para este teste de descontinuação, verifique se você se registrou na origem correta, optou por um token de terceiros, se necessário, e forneceu corretamente o token em um cabeçalho HTTP, uma metatag ou (para um token de terceiros) usando JavaScript. Saiba mais sobre os testes de origem de terceiros em Testes de origem de terceiros. Há uma demonstração de teste de descontinuação em Demonstração do teste de origem do Chrome: token injetado por script de terceiros. Se você continuar a ter problemas, entre em contato com origin-trials-support@google.com.