Cookie di terze parti e flussi di lavoro incorporati

I cookie di terze parti hanno molti utilizzi, ma sono anche un fattore chiave che consente il monitoraggio cross-site.

I cookie di terze parti potrebbero essere bloccati da restrizioni del browser, impostazioni utente, flag per sviluppatori, o norme aziendali.

Il tuo sito o servizio deve offrire un'esperienza ottimale a tutti gli utenti, indipendentemente dalla disponibilità o meno dei cookie di terze parti.

In questa pagina troverai informazioni sulle soluzioni che tutelano la privacy per gli scenari incorporati che tradizionalmente si basano su cookie di terze parti, nonché strategie per aiutarti a scegliere la soluzione più adatta alle tue esigenze.

I servizi incorporati includono contenuti di terze parti (come video, mappe), componenti interattivi (come chat, sistemi di commento o servizi di pagamento), servizi di accesso e altro ancora.

La maggior parte del lavoro di transizione dai cookie di terze parti deve essere svolta dagli sviluppatori di incorporamenti, anziché dai siti che ospitano gli incorporamenti. Questa guida si concentra principalmente sulle soluzioni per gli sviluppatori che creano servizi incorporati.

Se il tuo sito si basa su un incorporamento che utilizza cookie di terze parti, assicurati di controllare e testare i percorsi correlati all'incorporamento e contatta i fornitori di incorporamenti se riscontri problemi.

Controllare e testare i percorsi utente correlati all'incorporamento

Il modo migliore per determinare se i tuoi incorporamenti sono interessati dai cookie di terze parti è testare i flussi utente di incorporamento di terze parti con il flag di test dei cookie di terze parti abilitato.

Dopo aver limitato i cookie di terze parti, testa questi scenari di incorporamento comuni:

  • Widget di chat:puoi avviare una sessione di chat? Puoi aggiornare la pagina senza perdere la sessione? Puoi passare ad altre pagine e mantenere la sessione?
  • Contenuti incorporati:riesci a visualizzare contenuti video o altri contenuti incorporati? Le preferenze dell'utente, come la lingua o i sottotitoli codificati, vengono mantenute? Visualizzi gli annunci quando previsto, ad esempio non li visualizzi come abbonato a Premium?
  • Accesso:gli accessi, inclusi quelli Single Sign-On (SSO), funzionano per gli incorporamenti che li supportano? Vengono mantenuti durante i ricaricamenti della pagina e la navigazione verso pagine che utilizzano gli stessi incorporamenti?
  • Widget per i commenti:puoi lasciare, mettere Mi piace e votare i commenti?
  • Soluzioni di pagamento integrate:riesci a completare i pagamenti?

Nelle sezioni successive troverai informazioni più specifiche su come questi flussi potrebbero essere interessati.

Casi d'uso comuni

Esistono diverse API che possono essere utilizzate per gli incorporamenti che tradizionalmente si basano sui cookie di terze parti. La tabella seguente elenca alcuni flussi di lavoro comuni e le API consigliate da utilizzare come riepilogo di alto livello. Le sezioni seguenti spiegheranno il ragionamento alla base di questi consigli.

Caso d'uso API consigliata per l'utilizzo di cookie di terze parti
Widget di chat CHIPS
Incorporamenti di mappe CHIPS
Domini sandbox per contenuti utente non attendibili
(ad esempio googleusercontent.com e githubusercontent.com) che richiedono uno stato con ambito per editore
CHIPS
Annunci incorporati che devono essere limitati a livello di stato per publisher CHIPS
Accedere tramite un provider di identità FedCM
Incorporamento ospitato su origini diverse, ma correlate. API Storage Access con insiemi di siti web correlati
Incorporamenti di contenuti con preferenze basate sull'accesso
(ad esempio contenuti video senza annunci o preferenze relative a lingua/sottotitoli)
API Storage Access
Widget per i commenti sui social media che richiede l'accesso API Storage Access
API alternative consigliate per i casi d'uso comuni

Scegli l'API appropriata per i casi d'uso di terze parti incorporati

Questa sezione illustra come scegliere un'API alternativa appropriata e spiega le API consigliate.

Il seguente diagramma di flusso ti aiuta a scegliere tra le opzioni disponibili:

Diagramma di flusso delle opzioni per decidere l'alternativa ai cookie di terze parti in base a tre domande.
Deciding on which API to use for third-party cookie embeds

Il diagramma di flusso pone tre domande principali che esamineremo più nel dettaglio per capire perché in ogni caso è consigliata una determinata API.

1. I cookie sono specifici per il sito di incorporamento?

Molti incorporamenti di terze parti vengono utilizzati in modo indipendente su siti completamente non correlati. Ad esempio, i widget di chat per l'assistenza clienti spesso richiedono i cookie per funzionare, ma non devono condividere questi cookie tra due organizzazioni completamente diverse che utilizzano la stessa soluzione di widget di chat. Infatti, in molti di questi casi la preferenza sarebbe quella di non consentire nemmeno la condivisione dei cookie.

Se fornisci un servizio di incorporamento di terze parti ad altri siti e questo si basa sui cookie, valuta se questi cookie sono specifici per il servizio sul sito in cui sono incorporati. Vengono mai condivisi da istanze dell'incorporamento su altri siti?

Se i cookie non devono essere condivisi, il partizionamento dei cookie tramite CHIPS è l'opzione più semplice. Questa API collega i cookie di terze parti al sito di primo livello, anziché consentirne la condivisione da parte di tutti i siti che utilizzano lo stesso incorporamento di terze parti. CHIPS è semplice da implementare, in quanto richiede solo l'aggiunta di un attributo Partitioned aggiuntivo ai cookie esistenti. In questo modo, i servizi incorporati possono comunque salvare lo stato, ma viene rimosso lo spazio di archiviazione condiviso tra siti che consentirebbe il monitoraggio cross-site.

I siti devono anche verificare se i cookie vengono utilizzati per i giusti motivi. I cookie devono essere utilizzati solo quando vengono impostati o devono essere inviati con le richieste HTTP. Se non è così e i cookie vengono utilizzati solo come opzione di archiviazione conveniente, è necessario prendere in considerazione le varie API di archiviazione. In questo modo, i dati rimangono locali quando non devono essere inviati. Le API Storage sono già partizionate in tutti i principali browser, in modo simile a come CHIPS partiziona i cookie.

2. I cookie sono per un provider di identità di terze parti?

Un utilizzo comune dei cookie di terze parti negli incorporamenti è quello di fornire funzionalità di accesso gestite da un fornitore di accesso di terze parti, ad esempio Accedi con Google. In questo caso, i cookie partizionati non sono un'opzione.

Federated Credential Management (FedCM) è un'API dedicata specificamente a questo caso d'uso e funziona senza cookie di terze parti. Se FedCM è supportato dal provider di identità, potrebbe non essere più necessario utilizzare cookie di terze parti.

Per saperne di più su come affrontare gli effetti dei cookie di terze parti sui flussi di lavoro di accesso, consulta la guida all'identità.

Se nessuna delle opzioni precedenti è una sostituzione adatta per i cookie, devi valutare la riattivazione dell'accesso ai cookie di terze parti per l'incorporamento. Questa funzionalità può essere attivata in casi d'uso specifici e controllati con l'API Storage Access. Questa API riattiva l'accesso completo ai cookie di terze parti (soggetto a controlli), quindi è l'opzione più potente. Per questo motivo, si consiglia di evitarlo se è sufficiente un'alternativa più restrittiva.

Esistono alcuni requisiti per l'utilizzo dell'API Storage Access:

  • L'utente deve aver visitato in precedenza il sito dell'incorporamento a un livello superiore. Ad esempio, se incorpori un sistema di commenti, l'utente deve visitare anche il sito di quel sistema di commenti.
  • L'utente deve interagire con l'incorporamento prima che i cookie possano essere condivisi. Ciò significa che potrebbe non essere possibile caricare tutti i contenuti incorporati prima dell'interazione dell'utente.
  • L'utente potrebbe dover approvare la condivisione dei cookie con un popup del browser, in particolare la prima volta e periodicamente in seguito.
  • Il sito di incorporamento potrebbe anche dover impostare attributi sandbox aggiuntivi.

Queste limitazioni garantiscono che la potente azione di riattivazione dei cookie di terze parti venga eseguita solo quando l'utente e il sito lo prevedono. Tuttavia, in alcuni scenari, le azioni dell'utente potrebbero essere ignorate. Ad esempio, se l'utente ha approvato di recente l'accesso, potrebbe non essere necessario richiedere nuovamente l'autorizzazione per un periodo di tempo (come definito dal browser).

Un altro scenario in cui è probabile che l'utente si aspetti questo comportamento è quello dei siti correlati. Ad esempio, alcune organizzazioni utilizzano diversi domini di origine, che vengono considerati cross-site dal browser, pertanto l'utilizzo dei cookie tra questi domini viene trattato come di terze parti. Ad esempio, brand con siti specifici per paese (come example.com e example.co.uk) o siti web specifici per brand (come example.car e example.house).

In questo caso, in cui è presente un numero ridotto di siti web correlati, puoi utilizzare gli insiemi di siti web correlati. I siti vengono inviati a Chrome, in modo che Chrome sappia che sono correlati. Ciò consente di accedere all'API Storage Access in modo più intuitivo, con meno prompt per l'utente.

Per i siti web non correlati che sono effettivamente di terze parti e in cui è richiesto l'accesso completo ai cookie di terze parti perché le API alternative non sono sufficienti, l'utilizzo dell'API Storage Access sarà soggetto a requisiti e prompt completi.

Confronto tra le varie API

Ciascuna soluzione presenta caratteristiche e limitazioni leggermente diverse che la rendono una scelta migliore per determinati casi d'uso. La seguente tabella riepiloga le principali differenze:

CHIPS Archiviazione partizionata FedCM API Storage Access con insiemi di siti web correlati API Storage Access
L'utente non deve aver precedentemente eseguito l'accesso alla parte incorporata come sito di primo livello
Non richiede la richiesta di approvazione dell'accesso da parte dell'utente
Non richiede l'interazione dell'utente con l'incorporamento
(può essere vero anche per i siti incorporati con accesso di primo livello).
Impegno di implementazione Molto bassa Bassa Alta Media Media
Può essere utilizzato per condividere i cookie su più siti/origini di primo livello
(proposta in discussione)
Disponibile sui browser non Chromium
(Esegue il fallback all'API Storage Access.)
Comportamenti, livello di impegno richiesto e disponibilità delle API chiave per i casi d'uso incorporati

Supportare i casi d'uso su più browser

La compatibilità del browser è uno dei fattori principali da considerare quando si sceglie una soluzione, come accennato nell'ultima riga della tabella. Alcune API (CHIPS, FedCM, insiemi di siti web correlati) sono disponibili solo sui browser Chromium. Le uniche due soluzioni cross-browser attualmente disponibili sono le API di archiviazione partizionata (quando non sono necessari cookie) e l'API Storage Access (quando sono necessari cookie).

Tuttavia, come indicato in precedenza, l'API Storage Access presenta una serie di limitazioni che possono influire sull'esperienza utente sul tuo sito web. Il team di Chrome ha lavorato all'aggiunta delle altre API, progettate per soddisfare casi d'uso specifici e fornire un'esperienza simile a quella possibile con i cookie di terze parti. Pertanto, ti consigliamo di valutare quali sono le opzioni migliori e trattarle come miglioramenti progressivi, con un fallback all'API Storage Access per i browser non supportati.

Poiché i cookie possono essere bloccati per diversi motivi (ad esempio, impostazioni del browser, estensioni), il rilevamento delle funzionalità del supporto API potrebbe non essere sufficiente. È invece consigliabile verificare l'esistenza dei cookie previsti e, in caso contrario, ricorrere al flusso di lavoro dell'API Storage Access per richiedere l'accesso ai cookie di terze parti.

Intervieni subito.

Se l'incorporamento di terze parti non funziona più senza l'utilizzo di cookie di terze parti, esistono diverse soluzioni disponibili che risolvono il possibile impatto, come descritto in questo intervento. Il momento di controllare il tuo servizio per verificare la presenza di cookie di terze parti è ora.

Per coloro che riscontrano problemi con i propri incorporamenti ora che Chrome sta testando la rimozione dei cookie di terze parti, esistono diverse opzioni a breve termine per ricevere assistenza durante la migrazione alle alternative descritte in questo post. Per ulteriori informazioni, consulta la documentazione relativa alla preservazione delle esperienze utente critiche.

Se hai domande sui casi d'uso dell'incorporamento di terze parti non trattati in questa guida, puoi segnalare un nuovo problema utilizzando il tag "Ritiro dei cookie di terze parti" nel nostro repository di assistenza per gli sviluppatori.