Richiedere tempi di migrazione aggiuntivi con la prova del ritiro dei cookie di terze parti

bookmark_border Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Per semplificare i test, Chrome ha limitato per impostazione predefinita i cookie di terze parti per l'1% dei suoi utenti. Chrome prevede di estendere le limitazioni relative ai cookie di terze parti al 100% degli utenti a partire dal terzo trimestre del 2024, a condizione che vengano risolti eventuali problemi di concorrenza della Competition and Markets Authority (CMA) del Regno Unito. Per una transizione più agevole durante la procedura di ritiro, offriamo una prova relativa al ritiro dei cookie di terze parti che consente ai siti e ai servizi incorporati di richiedere tempo aggiuntivo per eseguire la migrazione e rimuovere le dipendenze dai cookie di terze parti per i casi d'uso non pubblicitari.

La registrazione per questa prova di ritiro è iniziata la settimana del 4 dicembre 2023. La prova di ritiro inizierà a gennaio 2024 e terminerà il 27 dicembre 2024. Gli sviluppatori devono apportare le modifiche necessarie e avere dei piani entro la data di fine della prova.

Siamo consapevoli che esiste un breve periodo di tempo tra l'apertura delle registrazioni di prova per il ritiro e l'inizio del periodo di test facilitati di Chrome che blocca l'1% dei cookie. Per risolvere questi vincoli di tempo, Chrome offre un periodo di tolleranza per le origini partecipanti mentre si impegnano a implementare i token di prova per il ritiro. Durante il periodo di tolleranza, che terminerà il 30 giugno 2024, le origini registrate per la prova del ritiro avranno accesso ai cookie di terze parti in Chrome anche se non hanno ancora implementato i token. Lo scopo di questo periodo di tolleranza è evitare problemi di compatibilità web durante la fase di transizione. Le origini partecipanti devono implementare i token di prova per il ritiro prima della fine del periodo di tolleranza.

Prove relative al ritiro

Le prove di ritiro sono un'opzione standard fornita da Chrome per consentire ai siti di registrarsi per un periodo di tempo aggiuntivo per eseguire la migrazione dalla funzionalità precedente in fase di rimozione. Una prova di ritiro è un tipo di prova di origine che consente di riattivare temporaneamente una funzionalità.

Questa prova è valida per gli elementi incorporati e i servizi che impostano cookie di terze parti e chesoddisfano i nostri criteri di idoneità descritti nella sezione seguente. In altre parole, se l'embed o il servizio è di terze parti, puoi registrarti alla prova relativa al ritiro per riattivare temporaneamente i cookie di terze parti in tutti i contesti in cui è incluso l'embed o il servizio. La prova si applica solo all'origine incorporata registrata e non all'intero dominio di primo livello del sito visitato dagli utenti.

I siti di primo livello che utilizzano terze parti che si basano su cookie non devono registrarsi per questa prova relativa al ritiro. Dovresti eseguire la revisione dei cookie di terze parti utilizzati nel tuo sito e contattare i tuoi fornitori di terze parti per assicurarti che siano preparati al ritiro.

Criteri di idoneità e procedura di revisione

Questo esperimento di ritiro è diverso dai precedenti per l'introduzione di una procedura di revisione e approvazione per la partecipazione. L'obiettivo è trovare un equilibrio tra il miglioramento della privacy per le persone sul web e la possibilità per i servizi di cui hanno bisogno di richiedere più tempo per la migrazione, se necessario.

I principi che guidano questo periodo di prova del ritiro sono:

• Preservazione della funzionalità fondamentale per l'utente:questo esperimento di ritiro è rivolto ai fornitori di terze parti che dimostrano interruzioni funzionali nei percorsi degli utenti.
• Limitazione del monitoraggio degli utenti: la prova del ritiro non è pensata per supportare il monitoraggio su più siti a fini pubblicitari e, pertanto, gli elementi incorporati e i servizi di terze parti utilizzati per la pubblicità non sono idonei.

L'inidoneità dei casi d'uso pubblicitari contribuirà inoltre ad assicurare che il prova del ritiro non interferisca con i test di settore pianificati per l'inizio del 2024 come descritto dalla Competition and Markets Authority. Sono inclusi i domini correlati alla pubblicità che vengono utilizzati anche per scopi non pubblicitari.

Inizialmente, Chrome collaborerà con Disconnect.me, un leader del settore per la privacy su internet, e implementerà gli elenchi di protezione dei tracker di Disconnect per identificare gli script e i domini classificati come pubblicità. La disconnessione è già utilizzata da altri browser per scopi simili sul web.

Applicheremo la seguente procedura per le richieste di registrazione:

• Se l'origine di terze parti corrisponde a un dominio pubblicitario noto, ad esempio se corrisponde a una voce nell'elenco pubblicitario di Disconnect, la richiesta di registrazione verrà rifiutata. In genere, le voci nell'elenco corrispondono a tutti i sottodomini sotto l'origine specificata. Tuttavia, alcune voci includono un elemento path. Queste voci più specifiche corrisponderanno all'origine specificata, ma non ai sottodomini.
• Devono essere forniti i passaggi per riprodurre un'esperienza utente non funzionante. In particolare, deve essere un'esperienza per l'utente che utilizza il dispositivo su cui è memorizzato il cookie e non per un utente che esegue un'analisi successiva dei dati. Se non possiamo convalidare un'esperienza utente interrotta, la richiesta di registrazione verrà rifiutata.
• In caso contrario, la richiesta di registrazione verrà approvata.
• Se dichiari che un'origine è "simile" a un'applicazione approvata in precedenza, fornisci una descrizione del rapporto tra le origini.

Prevediamo di offrire una procedura di ricorso se l'origine della registrazione ritiene che ulteriori informazioni possano chiarire una decisione di revisione. Il registrante può presentare un ricorso presentando nuovamente domanda nella console di prova di origine. Lo scopo dei ricorsi è relativo alle richieste rifiutate per mancanza delle informazioni richieste (bug di interruzione noti e/o passaggi di riproduzione dell'interruzione) e/o se l'origine della registrazione ritiene che altre informazioni potrebbero soddisfare questi requisiti per chiarire una decisione di revisione.

Approviamo inoltre casi d'uso anti-abuso e antifrode quando possiamo trovare prove corroboranti. Accogliamo con favore i feedback su come valutare meglio questi casi d'uso.

Richiedere la prova della deprecazione

Includi i passaggi per la riproduzione che il nostro team può utilizzare per verificare il malfunzionamento. In alternativa, se è più facile e/o la funzionalità è limitata dall'accesso o da elementi simili, puoi fornire un link a una registrazione della procedura per riprodurre il problema utilizzando Chrome DevTools Recorder.

1. Vai a Prova per il ritiro dei cookie di terze parti e fai clic su "Registrati".
2. Per "Origine web", specifica l'origine che pubblica la pagina o gli script incorporati.
3. L'opzione "Corrispondenza di terze parti" dipende da come devi fornire il token. Le opzioni sono spiegate più dettagliatamente in Aggiungere il token di prova.
   • Se fornisci il token in un'intestazione HTTP o in un meta tag nelle tue pagine incorporate, non selezionare "Corrispondenza di terze parti".
   • Se inserisci il token con JavaScript in un altro sito, devi selezionare "Corrispondenza di terze parti".
   • Se devi eseguire entrambe le operazioni, dovrai effettuare registrazioni separate.
4. Se ospiti contenuti cross-site su più sottodomini, seleziona l'opzione "Ho bisogno di un token per trovare corrispondenze in tutti i sottodomini dell'origine".
   • Se selezioni questa opzione, il token fornito corrisponderà al dominio registrato e ai domini sottostanti. Ad esempio: registra https://example.com per trovare corrispondenze per example.com, www.example.com, foo.example.com e bar.foo.example.com. Se registri https://www.example.com, il tuo token corrisponderà a www.example.com e foo.www.example.com, ma non a foo.example.com.
   • I token corrispondono a più sottodomini in modo simile alla corrispondenza con caratteri jolly, ad esempio *.<domain>. Richiedi un token per example.com, che può essere fornito su a.example.com, b.example.com. L'accesso ai cookie di terze parti verrà comunque riattivato solo per le origini specifiche che forniscono il token, non per tutti i sottodomini. Consulta Quali cookie vengono attivati quando è attivata la corrispondenza dei sottodomini?.
   • Se ospiti contenuti cross-site in origini distinte che non rientrano nello stesso dominio, dovrai effettuare registrazioni separate per ogni origine.
5. Accetta tutte le condizioni incluse in "Informativa e conferma" selezionato tutte le caselle.
6. Invia la richiesta.
7. Abbiamo bisogno di ulteriori informazioni per poter elaborare la tua richiesta. Riceverai una notifica via email con un ticket generato automaticamente che ti chiede quanto segue:
   • Il numero di sottodomini associati all'origine richiesta
   • L'ID o il link per i bug del repository di malfunzionamenti di terze parti associati che hai segnalato in precedenza all'indirizzo goo.gle/report-3pc-broken.
   • Eventuali informazioni/contesto aggiuntivi sul caso d'uso/sul malfunzionamento che vorresti che prendessimo in considerazione. In caso di ricorso per una richiesta di prova rifiutata, spiega perché/come la tua origine soddisfa i criteri descritti per questa prova.

Una volta inviata, esamineremo la tua richiesta e ti informeremo al termine dell'esame o se sono necessarie ulteriori informazioni e se la tua richiesta è stata approvata o rifiutata. Riceverai anche lo stato e la motivazione del risultato. Se la richiesta viene approvata, puoi procedere fornendo il token di prova, se necessario. In caso di rifiuto, puoi seguire le indicazioni riportate nel ticket della richiesta.

Impostare i flag per i test

Al momento, ti consigliamo di impostare i seguenti flag, disponibili da Chrome 123, per consentire test efficaci. Questa combinazione di impostazioni dei flag contribuirà a replicare l'esperienza utente della modalità B.

• chrome://flags/#third-party-cookie-deprecation-trial → enabled
  Questa è l'impostazione predefinita. Consentire la partecipazione alla prova.

• chrome://flags/#tracking-protection-3pcd → enabled
  Attiva Protezione antitracciamento: mostra l'interfaccia utente dell'icona a forma di occhio nella barra degli indirizzi per consentire all'utente di attivare temporaneamente i cookie di terze parti per un sito e fornire chrome://settings/trackingProtection anziché chrome://settings/cookies.

• chrome://flags/#tpcd-metadata-grants → disabled
  Fai in modo che Chrome si comporti come se il periodo di tolleranza non fosse attivo. Questo può essere utilizzato per verificare che il tuo sito abbia implementato correttamente i token di prova per il ritiro prima del termine del periodo di tolleranza (per un sito soggetto al periodo di tolleranza).

• chrome://flags/#tpcd-heuristics-grants → disabled
  Non consentire le mitigazioni basate su euristiche. Questo può essere utile per verificare che altre correzioni a lungo termine (senza cookie di terze parti) funzionino come previsto senza mitigazioni delle strategie di rilevamento delle anomalie e che la partecipazione alla prova relativa al ritiro funzioni come previsto.

Se devi verificare manualmente che il periodo di tolleranza funzioni come previsto, prima di testare il deployment, dovrai attivare chrome://flags/#tpcd-metadata-grants anziché disattivarlo.

Aggiungi il token di prova

Per ulteriori dettagli, consulta Iniziare a utilizzare le prove di origine, Prove di origine di terze parti e Risolvere i problemi relativi alle prove di origine di Chrome.

Devi includere il token di prova in tutte le risposte della pagina in cui vuoi impostare o inviare cookie in un contesto cross-site.

Fornire il token in un'intestazione HTTP

Se devi riattivare i cookie di terze parti per una pagina incorporata in un iframe cross-site, puoi includere l'intestazione HTTP Origin-Trial nella risposta della pagina:

Origin-Trial: TOKEN_GOES_HERE

Ciò corrisponde a non attivare "Corrispondenza di terze parti" nella registrazione di prova del ritiro, poiché fornisci il token nelle tue risposte.

La risposta della pagina può impostare un cookie. Le richieste successive alla stessa origine, come le risorse secondarie nella pagina o le navigazioni da quella pagina, includeranno i cookie cross-site del sito e potrebbero anche impostare cookie.

Se devi che i cookie cross-site siano presenti nella primissima richiesta alla tua origine nella sessione, puoi anche utilizzare l'intestazione Critical-Origin-Trial passando il nome della prova:

Critical-Origin-Trial: Tpcd

In questo modo, il browser riproverà a inviare la richiesta con i cookie di terze parti attivati.

La prova di ritiro viene fornita come prova permanente, il che significa che, una volta ricevuto il token dal browser, il comportamento di prova verrà applicato fino a quando non viene caricato un iframe senza un token di prova. Ti consigliamo di inviare il token di prova in modo coerente a ogni caricamento dell'iframe.

Fornire il token in un meta tag

All'interno di una pagina, puoi utilizzare un meta tag nel documento <head>:

<meta http-equiv="origin-trial" content="TOKEN_GOES_HERE">

Il meta tag attiverà i cookie cross-site per le richieste successive o per JavaScript nella pagina, ma dovrai utilizzare l'intestazione HTTP se vuoi che i cookie esistenti vengano inviati nella richiesta iniziale.

Inserisci il token con JavaScript

Se devi attivare i cookie di terze parti per l'origine prima o senza eseguire la richiesta della tua pagina, ad esempio se i cookie sono richiesti per una richiesta di immagini tra siti o se intendi creare un iframe con JavaScript, puoi iniettare il token nel sito di primo livello utilizzando JavaScript:

const otMeta = document.createElement('meta');
otMeta.httpEquiv = 'origin-trial';
otMeta.content = 'TOKEN_GOES_HERE';
document.head.append(otMeta);

Per consentire questa operazione, devi attivare "Corrispondenza di terze parti" nella registrazione di prova per il ritiro, poiché stai inserendo il token per l'origine (la terza parte) in un altro sito.

Un token con la corrispondenza di terze parti abilitata può essere inserito in qualsiasi origine, incluso il tuo, e funzionerà.

Una prova persistente verrà comunque disattivata se viene caricato un iframe senza il token di prova. Devi fornire in modo coerente il token di prova su tutti gli iframe caricati anche se la prova è stata attivata inizialmente con il caricamento di uno script di terze parti.

Convalida il token

Apri DevTools e vai alla scheda Applicazione. Espandi l'albero Frame nel riquadro di navigazione a sinistra. Se selezioni un frame, viene visualizzata una sezione relativa alle prove dell'origine se sono stati forniti token. Se inietti il token nel sito di primo livello, lo vedrai nella voce "top". In caso contrario, seleziona il frame corrispondente alla pagina incorporata.

Nella sezione Prove di origine, se hai fornito un token, dovresti vedere una voce per "Tpcd". Se la funzionalità è stata attivata correttamente, vedrai lo stato "Attivato" in verde. In caso contrario, viene visualizzato uno stato di errore rosso e puoi espandere la voce per visualizzare il problema.

Per attivare la prova del ritiro è necessario un solo token valido. Se hai eseguito la registrazione sia per la corrispondenza proprietaria che per quella di terze parti, non è un problema se fornisci entrambi i token all'interno della pagina. Ad esempio, se hai una singola pagina che può essere incorporata in modi diversi, non devi scegliere dinamicamente un token, puoi semplicemente fornire entrambi e la prova verrà attivata in entrambi i contesti.

Quali cookie sono attivati?

La prova relativa al ritiro abilita i cookie di terze parti solo per l'origine registrata per la prova. Dopo l'attivazione, i cookie di terze parti saranno presenti nelle richieste di iframe e risorse secondarie a quell'origine. Anche i cookie di terze parti saranno disponibili con document.cookie negli iframe con la stessa origine.

Gli attributi Domain dei cookie non vengono considerati qui. Viene considerata solo l'origine dell'URL della richiesta. Una volta stabilito che una richiesta contiene cookie di terze parti, tutti questi cookie verranno allegati normalmente, anche se il dominio di un cookie è più permissivo.

Ad esempio, se https://one.test.example è registrato e il relativo token è fornito in un iframe https://one.test.example:

• https://one.test.example/image.jpg riceverà i cookie impostati da https://one.test.example
• https://one.test.example/image.jpg riceverà i cookie impostati da altre origini con Domain=.test.example
• Le richieste https://test.example/image.jpg o https://two.test.example/image.jpg non riceveranno cookie di terze parti perché non provengono dalla stessa origine.

Quali cookie vengono attivati quando è attivata la corrispondenza dei sottodomini?

L'opzione "Corrisponde a tutti i sottodomini" consente di utilizzare un singolo token nell'origine registrazione o in qualsiasi origine con un sottodominio più specifico. Un token per https://test.example con corrispondenza del sottodominio può essere utilizzato per attivare la prova con iframe https://test.example, https://one.test.example o https//two.test.example e caricamenti di script di terze parti.

Inoltre, quando la corrispondenza dei sottodomini è attivata, i cookie di terze parti saranno disponibili anche nelle richieste e negli iframe associati ai sottodomini corrispondenti. Ad esempio, se https://test.example utilizza la corrispondenza dei sottodomini, le richieste di risorse secondarie come https://cdn.one.test.example/image.jpg riceveranno cookie di terze parti.

La disattivazione della prova non tiene conto della corrispondenza dei sottodomini. Per disattivare la prova, è necessario caricare un iframe che corrisponda esattamente all'origine nella registrazione senza un token. Pertanto, una registrazione per https://test.example con corrispondenza dei sottodomini può essere disattivata solo da un iframe https://test.example senza un token. Questo potrebbe cambiare in futuro, pertanto ti consigliamo di fornire un token su tutti gli iframe dei frame secondari quando vuoi attivare la prova e di rimuovere i token da tutti gli iframe quando vuoi disattivare la prova.

Risoluzione dei problemi relativi ai token di prova

Risolvere i problemi relativi alle prove di origine di Chrome fornisce un elenco di controllo completo per aiutarti a eseguire il debug della registrazione e del deployment dei token di prova.

Di seguito sono riportati alcuni problemi comuni che potresti riscontrare con questa prova:

• Se selezioni l'opzione "Ho bisogno di un token per associare tutti i sottodomini dell'origine", il token fornito corrisponderà al dominio registrato e ai domini sottostanti. Ad esempio, registra https://example.com in modo che corrisponda a example.com, www.example.com, foo.example.com e bar.foo.example.com. Se registri https://www.example.com, il token corrisponderà a www.example.com e foo.www.example.com, ma non a foo.example.com.
• I siti o i servizi di terze parti incorporati nel tuo sito web devono registrarsi autonomamente per la prova. Non dovresti richiedere un dominio che non controlli/possedi.
• Se fai un errore durante la registrazione della prova di Origin, devi effettuare una nuova registrazione per correggere gli errori e ricevere un nuovo token.

Domande frequenti

1. A chi posso rivolgermi se ho domande sull'elenco di Disconnect.me?
   • Contatta Disconnect all'indirizzo support@disconnect.me, poiché non gestiamo l'elenco di Disconnect. Per ulteriori informazioni, consulta la pagina sulla protezione dai tracker.
2. Posso registrarmi per la prova del ritiro se il mio dominio viene utilizzato sia per scopi pubblicitari sia per scopi non pubblicitari?
   • I servizi e gli elementi incorporati di terze parti utilizzati per la pubblicità non sono idonei per la prova del ritiro, per i motivi spiegati in precedenza in questo blog. Sono inclusi i domini correlati alla pubblicità che vengono utilizzati anche per scopi non pubblicitari. Per ulteriori informazioni, consulta la sezione Criteri di idoneità e procedura di revisione.
3. I siti potranno vedere quali dei loro partner si sono iscritti alla prova relativa al ritiro? Potranno limitare la registrazione ai propri partner?
   • Sì, i siti possono vedere quali incorporamenti e servizi si basano su un token di prova per il ritiro visualizzando le informazioni sul token nel riquadro dell'applicazione di Chrome DevTools. Per ulteriori informazioni, consulta Risolvere i problemi relativi alle prove delle origini di Chrome.
   • I siti di primo livello non potranno limitare la registrazione ai propri partner o agli elementi incorporati e ai servizi presenti sulla loro pagina. Contatta il partner se vuoi.
4. In che modo questa prova è diversa da altre prove, come la prova di riduzione dell'origine dell'agente utente?
   • La differenza principale di questa prova di ritiro è la nuova procedura di registrazione che prevede il rispetto dei criteri di partecipazione e la nuova UI/nuove pagine nella console della prova dell'origine.
   • La seconda differenza è che è esclusivamente per i siti incorporati di terze parti per risolvere il maggior numero possibile di problemi di compatibilità web su una serie di siti/clienti di servizi.
5. Sarà disponibile una prova relativa al ritiro dei cookie proprietari per il ritiro dei cookie di terze parti a cui i siti di primo livello possono registrarsi per attivare i cookie di terze parti per l'intero sito?
   • Al momento ci stiamo concentrando su servizi e incorporamenti di terze parti. Consigliamo ai siti proprietari di continuare a apportare modifiche ai propri siti per risolvere il problema e incoraggiare le terze parti incorporate a registrarsi per questa prova di ritiro.
6. Quanto tempo occorre per esaminare la mia richiesta di prova per il ritiro? Dove posso controllare lo stato della mia richiesta?
   • I tempi di risposta possono variare. Ti invitiamo a iniziare la procedura di registrazione il prima possibile per assicurarti di essere pronto prima del ritiro dell'1% dei cookie di terze parti all'inizio del primo trimestre. Se non hai ricevuto alcuna risposta entro 1-2 settimane dall'invio della registrazione, contatta 3pcd-deprecationtrial@google.com.
   • Thread del bug per la conversazione aperta, lo stato della decisione e la motivazione.
7. La registrazione per la prova del ritiro è stata approvata e abbiamo implementato un token di prova come consigliato. Tuttavia, la prova del ritiro non funziona come previsto. Cosa dovremmo fare?
   • L'articolo Risolvere i problemi relativi alle prove delle origini di Chrome fornisce un elenco di controllo per la risoluzione dei problemi relativi alle prove delle origini. In particolare, per questa sperimentazione relativa al ritiro, assicurati di aver registrato l'origine corretta, di aver optato per un token di terze parti, se necessario, e di aver fornito correttamente il token in un'intestazione HTTP, in un meta tag o (per un token di terze parti) utilizzando JavaScript. Puoi scoprire di più sulle prove dell'origine di terze parti nella pagina Prove dell'origine di terze parti e puoi trovare una demo della prova relativa al ritiro all'indirizzo Demo della prova dell'origine di Chrome: token inserito da script di terze parti. Se i problemi persistono, contatta origin-trials-support@google.com.