तीसरे पक्ष की कुकी का इस्तेमाल कई कामों के लिए किया जाता है. हालांकि, ये अलग-अलग साइटों पर ट्रैकिंग को भी चालू करती हैं.
ब्राउज़र की पाबंदियों, उपयोगकर्ता की सेटिंग, डेवलपर फ़्लैग या कंपनी की नीति की वजह से, तीसरे पक्ष की कुकी ब्लॉक की जा सकती हैं.
आपको अपनी साइट या सेवा से सभी उपयोगकर्ताओं को बेहतरीन अनुभव देना है. भले ही, तीसरे पक्ष की कुकी उपलब्ध हों या न हों.
इस पेज पर, एम्बेड किए गए ऐसे उदाहरणों के लिए निजता बनाए रखने वाले समाधानों के बारे में जानकारी दी गई है जो आम तौर पर तीसरे पक्ष की कुकी पर निर्भर होते हैं. साथ ही, इसमें ऐसी रणनीतियां भी दी गई हैं जिनसे आपको यह तय करने में मदद मिलेगी कि आपकी ज़रूरतों के हिसाब से कौनसा समाधान सबसे सही है.
एम्बेड की गई सेवाओं या एम्बेड किए गए कॉन्टेंट में, तीसरे पक्ष का कॉन्टेंट (जैसे कि वीडियो, मैप), इंटरैक्टिव कॉम्पोनेंट (जैसे कि चैट, टिप्पणी करने की सुविधा या पेमेंट की सेवाएं), लॉगिन करने की सेवाएं वगैरह शामिल हैं.
तीसरे पक्ष की कुकी से ट्रांज़िशन करने का ज़्यादातर काम, एम्बेड डेवलपर को करना होता है. यह काम, एम्बेड होस्ट करने वाली साइटों को नहीं करना होता. इस गाइड में मुख्य रूप से, एम्बेड की गई सेवाएं बनाने वाले डेवलपर के लिए समाधानों के बारे में बताया जाएगा.
अगर आपकी साइट, तीसरे पक्ष की कुकी का इस्तेमाल करने वाले किसी एम्बेड पर निर्भर है, तो एम्बेड से जुड़ी यात्राओं की जांच करें और उनका टेस्ट करें. साथ ही, अगर आपको कोई गड़बड़ी मिलती है, तो एम्बेड की सुविधा देने वाली कंपनियों से संपर्क करें.
एम्बेड करने से जुड़ी उपयोगकर्ता गतिविधियों की जांच करना और उन्हें टेस्ट करना
यह पता लगाने का सबसे अच्छा तरीका कि क्या आपके एम्बेड पर तीसरे पक्ष की कुकी का असर पड़ा है, यह है कि तीसरे पक्ष की कुकी की जांच करने वाले फ़्लैग को चालू करके, तीसरे पक्ष के एम्बेड के उपयोगकर्ता फ़्लो की जांच करें.
तीसरे पक्ष की कुकी को सीमित करने के बाद, इन सामान्य एम्बेडिंग के उदाहरणों को टेस्ट करें:
- चैट विजेट: क्या चैट सेशन शुरू किया जा सकता है? क्या सेशन बंद किए बिना पेज को रीफ़्रेश किया जा सकता है? क्या आपको दूसरे पेजों पर जाने और अपना सेशन जारी रखने में कोई समस्या आ रही है?
- कॉन्टेंट एम्बेड करना: क्या आपको वीडियो कॉन्टेंट या एम्बेड किया गया अन्य कॉन्टेंट दिख रहा है? क्या उपयोगकर्ता की प्राथमिकताओं, जैसे कि भाषा या सबटाइटल को बनाए रखा जाता है? क्या आपको विज्ञापन उम्मीद के मुताबिक दिख रहे हैं? उदाहरण के लिए, क्या आपको प्रीमियम सदस्यता लेने के बाद भी विज्ञापन दिख रहे हैं?
- लॉगिन: क्या एम्बेड किए गए उन कॉन्टेंट के लिए लॉगिन काम कर रहे हैं जिनमें लॉगिन की सुविधा उपलब्ध है? इनमें सिंगल साइन ऑन (एसएसओ) लॉगिन भी शामिल हैं. क्या पेज को फिर से लोड करने और एक ही एम्बेड का इस्तेमाल करने वाले पेजों पर नेविगेट करने पर, ये बने रहते हैं?
- टिप्पणी करने वाले विजेट: क्या टिप्पणियां की जा सकती हैं, उन्हें पसंद किया जा सकता है, और अपवोट किया जा सकता है?
- पेमेंट के लिए एम्बेड किए गए समाधान: क्या पेमेंट पूरा किया जा सकता है?
अगले सेक्शन में, आपको इस बारे में ज़्यादा जानकारी मिलेगी कि इन फ़्लो पर क्या असर पड़ सकता है.
इस्तेमाल के सामान्य उदाहरण
ऐसे कई एपीआई हैं जिनका इस्तेमाल, एम्बेड किए गए उन ऑब्जेक्ट के लिए किया जा सकता है जो आम तौर पर तीसरे पक्ष की कुकी पर निर्भर होते हैं. यहां दी गई टेबल में, कुछ सामान्य वर्कफ़्लो और उनके लिए सुझाए गए एपीआई की खास जानकारी दी गई है. यहां दिए गए सेक्शन में, इन सुझावों के पीछे की वजह बताई गई है.
| इस्तेमाल का उदाहरण | तीसरे पक्ष की कुकी के इस्तेमाल के लिए सुझाया गया एपीआई |
|---|---|
| चैट विजेट | सीएचआईपीएस |
| मैप एम्बेड करना | सीएचआईपीएस |
| ऐसे सैंडबॉक्स डोमेन जिनके लिए, भरोसेमंद न होने वाले उपयोगकर्ता के कॉन्टेंट (जैसे कि googleusercontent.com और githubusercontent.com) को पब्लिशर के हिसाब से स्कोप करने की ज़रूरत होती है |
सीएचआईपीएस |
| एम्बेड किए गए ऐसे विज्ञापन जिनके लिए, हर पब्लिशर के हिसाब से राज्य के हिसाब से टारगेटिंग की ज़रूरत होती है | सीएचआईपीएस |
| आइडेंटिटी प्रोवाइडर के ज़रिए लॉगिन करना | FedCM |
| एम्बेड किए गए कॉन्टेंट को अलग-अलग, लेकिन एक-दूसरे से जुड़े ऑरिजिन पर होस्ट किया गया हो. | मिलती-जुलती वेबसाइट के सेट के साथ Storage Access API |
| लॉगिन के आधार पर तय की गई प्राथमिकताओं के साथ कॉन्टेंट एम्बेड करना (जैसे, बिना विज्ञापन वाला वीडियो कॉन्टेंट या भाषा/उपशीर्षक से जुड़ी प्राथमिकताएं) |
Storage Access API |
| सोशल मीडिया पर टिप्पणी करने वाला ऐसा विजेट जिसमें लॉगिन करना ज़रूरी होता है | Storage Access API |
तीसरे पक्ष के इस्तेमाल के उदाहरणों को एम्बेड करने के लिए, सही एपीआई चुनना
इस सेक्शन में, सही विकल्प वाला एपीआई चुनने का तरीका बताया गया है. साथ ही, सुझाए गए एपीआई के बारे में जानकारी दी गई है.
यहां दिए गए फ़्लोचार्ट से, उपलब्ध विकल्पों में से कोई एक चुनने में मदद मिलती है:
फ़्लो चार्ट में तीन मुख्य सवाल पूछे गए हैं. हम इनके बारे में ज़्यादा जानकारी देंगे. साथ ही, यह भी बताएंगे कि हर मामले में किसी खास एपीआई का सुझाव क्यों दिया गया है.
1. क्या कुकी, एम्बेड करने वाली साइट के लिए खास तौर पर बनाई गई हैं?
तीसरे पक्ष के कई एम्बेड किए गए कॉन्टेंट का इस्तेमाल, पूरी तरह से अलग-अलग साइटों पर किया जाता है. उदाहरण के लिए, ग्राहक सहायता के लिए चैट विजेट को काम करने के लिए अक्सर कुकी की ज़रूरत होती है. हालांकि, इन कुकी को दो अलग-अलग संगठनों के बीच शेयर करने की ज़रूरत नहीं होती. ये दोनों संगठन, एक ही चैट विजेट समाधान का इस्तेमाल करते हैं. दरअसल, कई मामलों में कुकी शेयर करने की अनुमति भी नहीं दी जाएगी.
अगर आपने अन्य साइटों को तीसरे पक्ष की एम्बेड सेवा दी है और वह कुकी पर निर्भर करती है, तो देखें कि क्या वे कुकी, उस साइट पर सेवा के लिए खास हैं जिस पर उन्हें एम्बेड किया गया है. क्या उन्हें कभी दूसरी साइटों पर एम्बेड किए गए आपके इंस्टेंस से शेयर किया जाता है?
अगर कुकी शेयर करने की ज़रूरत नहीं है, तो सीएचआईपीएस का इस्तेमाल करके कुकी को पार्टिशन करना सबसे आसान विकल्प है. यह एपीआई, तीसरे पक्ष की कुकी को टॉप-लेवल साइट से जोड़ता है. इससे, तीसरे पक्ष की कुकी को उन सभी साइटों के साथ शेयर करने की अनुमति नहीं मिलती जो तीसरे पक्ष के एक ही एम्बेड का इस्तेमाल करती हैं. CHIPS को लागू करना आसान है, क्योंकि इसके लिए मौजूदा कुकी में सिर्फ़ एक और Partitioned एट्रिब्यूट जोड़ना होता है. इससे एम्बेड की गई सेवाओं को अब भी स्थिति सेव करने की अनुमति मिलती है. हालांकि, यह क्रॉस-साइट ट्रैकिंग की अनुमति देने वाले शेयर किए गए क्रॉस-साइट स्टोरेज को हटा देता है.
साइटों को यह भी देखना चाहिए कि कुकी का इस्तेमाल सही वजहों से किया जा रहा है या नहीं. कुकी का इस्तेमाल सिर्फ़ तब किया जाना चाहिए, जब उन्हें सेट किया गया हो या उन्हें एचटीटीपी अनुरोधों के साथ भेजने की ज़रूरत हो. अगर ऐसा नहीं है और कुकी का इस्तेमाल सिर्फ़ स्टोरेज के आसान विकल्प के तौर पर किया जाता है, तो अलग-अलग स्टोरेज एपीआई का इस्तेमाल किया जाना चाहिए. इससे डेटा को स्थानीय तौर पर सेव किया जाता है, ताकि उसे भेजने की ज़रूरत न पड़े. स्टोरेज एपीआई, सभी मुख्य ब्राउज़र में पहले से ही बांटे गए हैं. इन्हें उसी तरह से बांटा गया है जिस तरह सीएचआईपीएस, कुकी को बांटता है.
2. क्या ये कुकी, तीसरे पक्ष की पहचान देने वाली सेवा के लिए हैं?
एम्बेड किए गए कॉन्टेंट में तीसरे पक्ष की कुकी का इस्तेमाल, लॉगिन करने की सुविधा देने के लिए किया जाता है. इस सुविधा को तीसरे पक्ष की लॉगिन सेवा देने वाली कंपनी मैनेज करती है. जैसे, Google से साइन इन करें. इस मामले में, पार्टिशन्ड कुकी का इस्तेमाल नहीं किया जा सकता.
Federated Credential Management (FedCM) एक खास एपीआई है. इसका इस्तेमाल सिर्फ़ इस काम के लिए किया जाता है. यह तीसरे पक्ष की कुकी के बिना काम करता है. अगर आइडेंटिटी प्रोवाइडर, FedCM के साथ काम करता है, तो तीसरे पक्ष की कुकी की ज़रूरत नहीं होगी.
पहचान से जुड़ी गाइड में, लॉगिन के वर्कफ़्लो पर तीसरे पक्ष की कुकी के असर को कम करने के बारे में ज़्यादा जानकारी दी गई है.
3. क्या कुकी का इस्तेमाल, मिलती-जुलती कुछ साइटों पर किया जाता है?
अगर पिछले विकल्पों में से कोई भी कुकी को बदलने के लिए सही नहीं है, तो आपको एम्बेड किए गए कॉन्टेंट के लिए, तीसरे पक्ष की कुकी का ऐक्सेस फिर से चालू करना होगा. इसे Storage Access API की मदद से, कुछ खास मामलों में चालू किया जा सकता है. यह एपीआई, तीसरे पक्ष की कुकी के पूरे ऐक्सेस को फिर से चालू करता है. हालांकि, यह कंट्रोल के दायरे में आता है. इसलिए, यह सबसे असरदार विकल्प है. इसलिए, हमारा सुझाव है कि अगर किसी अन्य तरीके से काम चल सकता है, तो इस तरीके का इस्तेमाल न करें.
Storage Access API का इस्तेमाल करने के लिए, कुछ ज़रूरी शर्तें हैं:
- उपयोगकर्ता को पहले एम्बेड की गई साइट पर टॉप-लेवल पर जाना होगा. उदाहरण के लिए, अगर टिप्पणी करने की सुविधा एम्बेड की जा रही है, तो उपयोगकर्ता को टिप्पणी करने की सुविधा देने वाली साइट पर भी जाना होगा.
- कुकी शेयर करने से पहले, उपयोगकर्ता को एम्बेड किए गए कॉन्टेंट के साथ इंटरैक्ट करना होगा. इसका मतलब है कि उपयोगकर्ता के इंटरैक्शन से पहले, एम्बेड किए गए पूरे कॉन्टेंट को लोड नहीं किया जा सकता.
- उपयोगकर्ता को ब्राउज़र के पॉप-अप के ज़रिए, कुकी शेयर करने की अनुमति देनी पड़ सकती है. खास तौर पर, पहली बार और समय-समय पर ऐसा करना पड़ सकता है.
- एम्बेड करने वाली साइट को सैंडबॉक्स के अतिरिक्त एट्रिब्यूट भी सेट करने पड़ सकते हैं.
इन पाबंदियों से यह पक्का होता है कि तीसरे पक्ष की कुकी को फिर से चालू करने का अहम फ़ैसला, सिर्फ़ तब लिया जाए, जब उपयोगकर्ता और साइट को इसकी ज़रूरत हो. हालांकि, कुछ मामलों में उपयोगकर्ता की कार्रवाइयों को स्किप किया जा सकता है. उदाहरण के लिए, अगर उपयोगकर्ता ने हाल ही में ऐक्सेस करने की अनुमति दी है, तो हो सकता है कि कुछ समय तक उसे फिर से अनुमति देने के लिए न कहा जाए. यह समय ब्राउज़र तय करता है.
एक और स्थिति में, उपयोगकर्ता को इससे जुड़ी साइटों के लिए ऐसा होने की उम्मीद हो सकती है. उदाहरण के लिए, कुछ संगठन कई अलग-अलग ऑरिजिन का इस्तेमाल करते हैं. ब्राउज़र इन्हें क्रॉस-साइट मानता है. इसलिए, इन सभी ऑरिजिन पर कुकी का इस्तेमाल, तीसरे पक्ष के तौर पर माना जाता है. उदाहरण के लिए, देश के हिसाब से साइटें (जैसे, example.com और example.co.uk) या ब्रैंड के हिसाब से वेबसाइटें (जैसे, example.car और example.house).
इस मामले में, जहां मिलती-जुलती वेबसाइटों की संख्या कम है वहां मिलती-जुलती वेबसाइट के सेट का इस्तेमाल किया जा सकता है. साइटों को Chrome पर सबमिट किया जाता है, ताकि Chrome को पता चल सके कि वे एक-दूसरे से जुड़ी हुई हैं. इससे Storage Access API को ज़्यादा आसानी से ऐक्सेस किया जा सकता है. साथ ही, उपयोगकर्ता को कम प्रॉम्प्ट दिखते हैं.
तीसरे पक्ष की उन वेबसाइटों के लिए Storage Access API का इस्तेमाल किया जा सकता है जो मिलती-जुलती वेबसाइटों के सेट में शामिल नहीं हैं. साथ ही, जहां तीसरे पक्ष की कुकी का पूरा ऐक्सेस ज़रूरी है, क्योंकि वैकल्पिक एपीआई काफ़ी नहीं हैं. हालांकि, इसके लिए सभी ज़रूरी शर्तों को पूरा करना होगा और प्रॉम्प्ट दिखाने होंगे.
अलग-अलग एपीआई की तुलना
इनमें से हर समाधान की कुछ अलग विशेषताएं और सीमाएं हैं. इसलिए, कुछ मामलों में ये समाधान बेहतर विकल्प साबित होते हैं. यहां दी गई टेबल में, दोनों के बीच के मुख्य अंतर के बारे में बताया गया है:
| सीएचआईपीएस | पार्टिशन किया गया स्टोरेज | FedCM | मिलती-जुलती वेबसाइट के सेट के साथ Storage Access API | Storage Access API | |
|---|---|---|---|---|---|
| उपयोगकर्ता को पहले एम्बेड किए गए तीसरे पक्ष की साइट को टॉप-लेवल साइट के तौर पर ऐक्सेस करने की ज़रूरत नहीं है | |||||
| ऐक्सेस को मंज़ूरी देने के लिए, उपयोगकर्ता के प्रॉम्प्ट की ज़रूरत नहीं होती | |||||
| इसके लिए, उपयोगकर्ता को एम्बेड किए गए कॉन्टेंट के साथ इंटरैक्ट करने की ज़रूरत नहीं होती | (यह टॉप-लेवल का ऐक्सेस रखने वाली एम्बेड की गई साइटों के लिए भी सही हो सकता है.) |
||||
| लागू करने में लगने वाला समय | बहुत कम | कम | ज़्यादा | मीडियम | मीडियम |
| इसका इस्तेमाल, एक से ज़्यादा टॉप-लेवल साइटों/ऑरिजिन पर कुकी शेयर करने के लिए किया जा सकता है | (प्रस्ताव पर चर्चा चल रही है.) |
||||
| Chromium के अलावा अन्य ब्राउज़र पर उपलब्ध है | (Storage Access API पर वापस आ जाता है.) |
सभी ब्राउज़र पर इस्तेमाल के उदाहरणों के लिए सहायता
किसी समाधान को चुनने के लिए, ब्राउज़र के साथ काम करने की सुविधा एक अहम फ़ैक्टर है. इसके बारे में टेबल की आखिरी लाइन में बताया गया है. कुछ एपीआई (CHIPS, FedCM, मिलती-जुलती वेबसाइट के सेट) सिर्फ़ Chromium ब्राउज़र पर उपलब्ध हैं. फ़िलहाल, अलग-अलग ब्राउज़र पर काम करने वाले सिर्फ़ दो समाधान उपलब्ध हैं. पहला, पार्टिशन किए गए स्टोरेज एपीआई (जब कुकी की ज़रूरत न हो) और दूसरा, Storage Access API (जब कुकी की ज़रूरत हो).
हालांकि, जैसा कि पहले बताया गया है, Storage Access API पर कई पाबंदियां हैं. इनसे आपकी वेबसाइट पर उपयोगकर्ता अनुभव पर असर पड़ सकता है. Chrome टीम ने अन्य एपीआई जोड़ने पर काम किया है. इन्हें इस्तेमाल के खास मामलों को पूरा करने के लिए डिज़ाइन किया गया है. साथ ही, ये तीसरे पक्ष की कुकी की तरह ही काम करते हैं. इसलिए, हमारा सुझाव है कि आप यह तय करें कि सबसे अच्छे विकल्प कौनसे हैं और इन्हें प्रोग्रेसिव एन्हांसमेंट के तौर पर इस्तेमाल करें. साथ ही, जिन ब्राउज़र पर ये विकल्प काम नहीं करते उनके लिए, Storage Access API का इस्तेमाल करें.
कुकी को कई वजहों से ब्लॉक किया जा सकता है. उदाहरण के लिए, ब्राउज़र की सेटिंग और एक्सटेंशन. इसलिए, एपीआई के साथ काम करने की सुविधा का पता लगाना काफ़ी नहीं हो सकता. इसके बजाय, यह जांच करना सबसे अच्छा है कि क्या ज़रूरी कुकी मौजूद हैं. अगर ऐसा नहीं है, तो तीसरे पक्ष की कुकी का ऐक्सेस पाने का अनुरोध करने के लिए, Storage Access API के वर्कफ़्लो पर वापस जाएं.
अभी कार्रवाई करें!
अगर तीसरे पक्ष की कुकी के बिना, तीसरे पक्ष का एम्बेड काम नहीं करता है, तो कई ऐसे समाधान उपलब्ध हैं जिनसे संभावित असर को कम किया जा सकता है. इस बारे में इस टॉक में ज़्यादा जानकारी दी गई है. तीसरे पक्ष की कुकी के लिए, अपनी सेवा का ऑडिट करने का समय आ गया है!
अगर Chrome, तीसरे पक्ष की कुकी हटाने की सुविधा की टेस्टिंग कर रहा है और इस वजह से, एम्बेड किए गए कॉन्टेंट में गड़बड़ियां आ रही हैं, तो इस पोस्ट में बताए गए विकल्पों पर माइग्रेट करने के दौरान, मदद पाने के लिए कुछ समय के लिए उपलब्ध विकल्प इस्तेमाल किए जा सकते हैं. ज़्यादा जानकारी के लिए, उपयोगकर्ता के अहम अनुभव को बनाए रखना से जुड़ा दस्तावेज़ देखें.
अगर आपको तीसरे पक्ष के एम्बेड के इस्तेमाल के ऐसे उदाहरणों के बारे में सवाल पूछने हैं जिनके बारे में इस गाइड में नहीं बताया गया है, तो डेवलपर सहायता रिपॉज़िटरी में "तीसरे पक्ष की कुकी का इस्तेमाल बंद होना" टैग का इस्तेमाल करके, नई समस्या की जानकारी दें.