Cookie pihak ketiga memiliki banyak kegunaan, tetapi juga merupakan pendukung utama pelacakan lintas situs.
Cookie pihak ketiga dapat diblokir oleh pembatasan browser, setelan pengguna, flag developer, atau kebijakan perusahaan.
Anda harus memastikan situs atau layanan Anda memberikan pengalaman yang baik bagi semua pengguna, terlepas dari tersedia atau tidaknya cookie pihak ketiga.
Di halaman ini, Anda akan menemukan informasi tentang solusi yang menjaga privasi untuk skenario sematan yang secara tradisional mengandalkan cookie pihak ketiga, dan strategi untuk membantu Anda memilih solusi yang paling sesuai dengan kebutuhan Anda.
Layanan tersemat, atau sematan, mencakup konten pihak ketiga (seperti video, peta), komponen interaktif (seperti chat, sistem komentar, atau layanan pembayaran), layanan login, dan lainnya.
Sebagian besar pekerjaan untuk bertransisi dari cookie pihak ketiga harus dilakukan oleh developer sematan, bukan situs yang menghosting sematan. Panduan ini terutama akan membahas solusi untuk developer yang membuat layanan sematan.
Jika situs Anda mengandalkan sematan yang menggunakan cookie pihak ketiga, pastikan untuk mengaudit dan menguji perjalanan terkait sematan Anda, serta hubungi penyedia sematan jika Anda menemukan masalah.
Mengaudit dan menguji perjalanan pengguna terkait sematan
Cara terbaik untuk menentukan apakah sematan Anda terpengaruh oleh cookie pihak ketiga adalah dengan menguji alur pengguna sematan pihak ketiga Anda dengan mengaktifkan tanda pengujian cookie pihak ketiga.
Setelah Anda membatasi cookie pihak ketiga, uji skenario penyematan umum berikut:
- Widget chat: Dapatkah Anda memulai sesi chat? Dapatkah Anda memuat ulang halaman tanpa kehilangan sesi Anda? Dapatkah Anda membuka halaman lain dan mempertahankan sesi Anda?
- Penyematan konten: Dapatkah Anda melihat konten video atau konten tersemat lainnya? Apakah preferensi pengguna, seperti bahasa atau subtitel, dipertahankan? Apakah Anda melihat iklan saat diharapkan, misalnya tidak melihatnya sebagai pelanggan premium?
- Login: Apakah login—termasuk login Single Sign On (SSO)—berfungsi untuk penyematan yang mendukungnya? Apakah mereka tetap ada saat halaman dimuat ulang dan navigasi ke halaman yang menggunakan sematan yang sama?
- Widget komentar: Dapatkah Anda memberikan, menyukai, dan menyetujui komentar?
- Solusi pembayaran tersemat: Apakah Anda berhasil menyelesaikan pembayaran?
Di bagian berikutnya, Anda akan menemukan informasi yang lebih spesifik tentang pengaruhnya terhadap alur tersebut.
Kasus penggunaan umum
Ada sejumlah API yang dapat digunakan untuk sematan yang secara tradisional mengandalkan cookie pihak ketiga. Tabel berikut mencantumkan beberapa alur kerja umum dan API yang direkomendasikan untuk digunakan sebagai ringkasan tingkat tinggi. Bagian berikut akan menjelaskan alasan rekomendasi ini.
| Kasus penggunaan | API yang direkomendasikan untuk penggunaan cookie pihak ketiga |
|---|---|
| Widget chat | CHIPS |
| Penyematan peta | CHIPS |
| Domain sandbox untuk konten pengguna yang tidak tepercaya (seperti googleusercontent.com dan githubusercontent.com) yang memerlukan cakupan status per penayang |
CHIPS |
| Iklan sematan yang memerlukan cakupan status per penayang | CHIPS |
| Login melalui penyedia identitas | FedCM |
| Sematkan di origin yang berbeda, tetapi terkait. | Storage Access API dengan Set Situs Terkait |
| Penyematan konten dengan preferensi berbasis login (seperti konten video tanpa iklan, atau preferensi bahasa/subtitel) |
Storage Access API |
| Widget komentar media sosial yang memerlukan login | Storage Access API |
Pilih API yang sesuai untuk kasus penggunaan pihak ketiga yang disematkan
Bagian ini menjelaskan cara memilih API alternatif yang sesuai dan menjelaskan API yang direkomendasikan.
Diagram alir berikut membantu memilih dari opsi yang tersedia:
Diagram alur mengajukan tiga pertanyaan utama dan kita akan melihatnya secara lebih mendetail dan alasan API tertentu direkomendasikan dalam setiap kasus.
1. Apakah cookie khusus untuk situs penyematan?
Banyak sematan pihak ketiga digunakan secara independen di situs yang sama sekali tidak terkait. Misalnya, widget chat untuk dukungan pelanggan sering kali memerlukan cookie agar berfungsi, tetapi tidak perlu membagikan cookie ini antara dua organisasi yang sama sekali berbeda yang kebetulan menggunakan solusi widget chat yang sama. Faktanya, dalam banyak kasus, sebaiknya jangan izinkan berbagi cookie.
Jika Anda menyediakan layanan sematan pihak ketiga ke situs lain dan layanan tersebut mengandalkan cookie, pertimbangkan apakah cookie tersebut khusus untuk layanan di situs tempat layanan tersebut disematkan. Apakah pernah dibagikan oleh instance sematan Anda di situs lain?
Jika cookie tidak perlu dibagikan, maka mempartisi cookie menggunakan
CHIPS adalah opsi yang paling mudah. API ini mengikat cookie pihak ketiga ke situs tingkat teratas, bukan mengizinkannya dibagikan oleh semua situs yang menggunakan sematan pihak ketiga yang sama. CHIPS mudah diterapkan karena hanya memerlukan penambahan atribut Partitioned tambahan ke cookie yang ada. Hal ini memungkinkan layanan tersemat tetap menyimpan status, tetapi menghapus
penyimpanan lintas situs bersama yang akan memungkinkan pelacakan lintas situs.
Situs juga harus memeriksa apakah cookie digunakan untuk alasan yang tepat. Cookie hanya boleh digunakan saat ditetapkan atau perlu dikirim dengan permintaan HTTP. Jika bukan itu masalahnya, dan cookie hanya digunakan sebagai opsi penyimpanan yang praktis, maka berbagai API penyimpanan harus dipertimbangkan. Tindakan ini menjaga data tetap lokal jika tidak perlu dikirim. API penyimpanan sudah dipartisi di semua browser utama, dengan cara yang serupa dengan CHIPS memartisi cookie.
2. Apakah cookie untuk penyedia identitas pihak ketiga?
Salah satu penggunaan umum cookie pihak ketiga dalam sematan adalah untuk menyediakan kemampuan login yang dikelola oleh penyedia login pihak ketiga, seperti Login dengan Google. Cookie yang dipartisi bukan opsi dalam kasus ini.
Federated Credential Management (FedCM) adalah API khusus untuk kasus penggunaan ini dan berfungsi tanpa cookie pihak ketiga. Jika FedCM didukung oleh penyedia identitas, hal ini dapat menghilangkan kebutuhan akan cookie pihak ketiga.
Anda dapat membaca selengkapnya tentang cara mengatasi efek cookie pihak ketiga pada alur kerja login di panduan identitas.
3. Apakah cookie digunakan di sejumlah kecil situs terkait?
Jika tidak ada opsi sebelumnya yang cocok untuk menggantikan cookie, Anda harus mengaktifkan kembali akses cookie pihak ketiga untuk sematan. Fitur ini dapat diaktifkan dalam kasus penggunaan spesifik dan terkontrol dengan Storage Access API. API ini mengaktifkan kembali akses cookie pihak ketiga penuh (tunduk pada kontrol) sehingga menjadi opsi yang paling efektif. Oleh karena itu, sebaiknya hindari penggunaan metode ini jika ada alternatif yang lebih ketat dan memadai.
Ada beberapa persyaratan untuk menggunakan Storage Access API:
- Pengguna harus telah mengunjungi situs sematan di tingkat teratas sebelumnya. Misalnya, jika menyematkan sistem komentar, pengguna juga harus membuka situs sistem komentar tersebut.
- Pengguna harus berinteraksi dengan sematan sebelum cookie dapat dibagikan. Artinya, konten sematan lengkap mungkin tidak dapat dimuat sebelum interaksi pengguna.
- Pengguna mungkin perlu menyetujui pembagian cookie dengan pop-up browser, terutama pada instance pertama dan secara berkala setelahnya.
- Situs penyematan juga mungkin perlu menetapkan atribut sandbox tambahan.
Pembatasan ini memastikan tindakan canggih untuk mengaktifkan kembali cookie pihak ketiga hanya dilakukan saat pengguna dan situs mengharapkannya. Namun, dalam skenario tertentu, tindakan pengguna dapat dilewati. Misalnya, jika pengguna baru-baru ini menyetujui akses, pengguna mungkin tidak perlu diminta ulang untuk jangka waktu tertentu (seperti yang ditentukan oleh browser).
Skenario lain yang kemungkinan diharapkan oleh pengguna adalah untuk situs terkait. Misalnya, beberapa organisasi menggunakan sejumlah asal yang berbeda, yang dianggap sebagai lintas situs oleh browser—sehingga penggunaan cookie di seluruh asal tersebut diperlakukan sebagai pihak ketiga. Contohnya mencakup merek dengan situs khusus negara (seperti example.com dan example.co.uk) atau situs khusus merek (seperti example.car dan example.house).
Dalam hal ini, jika ada sejumlah kecil situs terkait, Anda dapat menggunakan Set Situs Terkait. Situs dikirimkan ke Chrome, sehingga Chrome mengetahui bahwa situs tersebut terkait. Hal ini memungkinkan akses ke Storage Access API dengan cara yang lebih mudah digunakan, dengan lebih sedikit perintah pengguna.
Untuk situs yang tidak terkait yang sebenarnya merupakan pihak ketiga, dan jika akses cookie pihak ketiga penuh diperlukan karena API alternatif tidak memadai, penggunaan Storage Access API akan tunduk pada persyaratan dan dialog lengkap.
Perbandingan berbagai API
Setiap solusi memiliki karakteristik dan batasan yang sedikit berbeda yang membuatnya menjadi pilihan yang lebih baik untuk kasus penggunaan tertentu. Tabel berikut merangkum perbedaan utama:
| CHIPS | Partitioned Storage | FedCM | Storage Access API dengan Set Situs Terkait | Storage Access API | |
|---|---|---|---|---|---|
| Pengguna tidak perlu mengakses pihak yang disematkan sebelumnya sebagai situs tingkat teratas | |||||
| Tidak memerlukan perintah pengguna untuk menyetujui akses | |||||
| Tidak mengharuskan pengguna berinteraksi dengan sematan | (Dapat berlaku untuk situs yang disematkan dengan akses tingkat teratas juga.) |
||||
| Upaya penerapan | Sangat rendah | Rendah | Tinggi | Sedang | Sedang |
| Dapat digunakan untuk membagikan cookie di beberapa situs/origin tingkat teratas | (Proposal sedang dibahas.) |
||||
| Tersedia di browser non-Chromium | (Melakukan penggantian ke Storage Access API.) |
Mendukung kasus penggunaan di seluruh browser
Kompatibilitas browser adalah salah satu faktor utama saat memutuskan solusi, seperti yang dibahas di baris terakhir tabel. Beberapa API (CHIPS, FedCM, Set Situs Terkait) hanya tersedia di browser Chromium. Dua solusi lintas browser yang tersedia saat ini adalah API penyimpanan yang dipartisi (jika cookie tidak diperlukan), dan Storage Access API (jika cookie diperlukan).
Namun, seperti yang disebutkan sebelumnya, Storage Access API memiliki sejumlah batasan yang dapat memengaruhi pengalaman pengguna di situs Anda. Tim Chrome telah berupaya menambahkan API lainnya, yang dirancang untuk memenuhi kasus penggunaan tertentu dan memberikan pengalaman yang serupa dengan yang telah dimungkinkan dengan cookie pihak ketiga. Oleh karena itu, sebaiknya pertimbangkan opsi terbaik dan perlakukan opsi ini sebagai peningkatan progresif, dengan penggantian ke Storage Access API untuk browser yang tidak mendukung.
Karena cookie dapat diblokir karena sejumlah alasan (misalnya, setelan browser, ekstensi), deteksi fitur dukungan API mungkin tidak cukup. Sebaiknya uji apakah cookie yang diharapkan ada, dan jika tidak, lakukan penggantian ke alur kerja Storage Access API untuk meminta akses ke cookie pihak ketiga.
Ambil tindakan sekarang!
Jika sematan pihak ketiga Anda tidak lagi berfungsi tanpa penggunaan cookie pihak ketiga, ada beberapa solusi yang tersedia untuk mengatasi kemungkinan dampak seperti yang dijelaskan dalam diskusi ini. Saatnya mengaudit layanan Anda untuk menemukan cookie pihak ketiga sekarang.
Bagi Anda yang mengalami kerusakan pada sematan saat ini karena Chrome sedang menguji penghapusan cookie pihak ketiga, ada sejumlah opsi jangka pendek untuk membantu Anda saat bermigrasi ke alternatif yang dijelaskan dalam postingan ini. Lihat dokumentasi mempertahankan pengalaman pengguna yang penting untuk mengetahui informasi selengkapnya.
Jika ada pertanyaan terkait kasus penggunaan sematan pihak ketiga yang tidak dibahas dalam panduan ini, Anda dapat mengajukan masalah baru menggunakan tag "penghentian penggunaan cookie pihak ketiga" di repositori dukungan developer kami.