Pliki cookie innych firm mają wiele zastosowań, ale umożliwiają też śledzenie użytkowników w różnych witrynach.
Pliki cookie innych firm mogą być blokowane przez ograniczenia przeglądarki, ustawienia użytkownika, flagi dewelopera lub zasady przedsiębiorstwa.
Twoja witryna lub usługa musi zapewniać komfort obsługi wszystkim użytkownikom, niezależnie od tego, czy pliki cookie innych firm są dostępne.
Na tej stronie znajdziesz informacje o rozwiązaniach chroniących prywatność w przypadku scenariuszy z osadzaniem, które tradycyjnie opierają się na plikach cookie innych firm, oraz strategie, które pomogą Ci wybrać rozwiązanie najlepiej dopasowane do Twoich potrzeb.
Usługi umieszczone, czyli elementy umieszczone, obejmują treści innych firm (takie jak filmy czy mapy), interaktywne komponenty (takie jak czat, systemy komentarzy czy usługi płatnicze), usługi logowania i inne.
Większość prac związanych z przejściem z plików cookie innych firm muszą wykonać deweloperzy elementów do umieszczenia, a nie witryny, które je hostują. Ten przewodnik dotyczy głównie rozwiązań dla deweloperów, którzy tworzą usługi wbudowane.
Jeśli Twoja witryna korzysta z osadzenia, które używa plików cookie innych firm, przeprowadź audyt i testy ścieżek związanych z osadzaniem, a w przypadku wykrycia awarii skontaktuj się z dostawcami osadzeń.
Sprawdzanie i testowanie ścieżek użytkowników związanych z osadzaniem
Najlepszym sposobem na sprawdzenie, czy osadzone elementy są objęte działaniem plików cookie innych firm, jest przetestowanie ścieżek użytkownika osadzonych elementów innych firm z włączoną flagą testowania plików cookie innych firm.
Po ograniczeniu plików cookie innych firm przetestuj te typowe scenariusze osadzania:
- Widżety czatu: czy możesz rozpocząć sesję czatu? Czy możesz odświeżyć stronę bez utraty sesji? Czy możesz przejść do innych stron i utrzymać sesję?
- Umieszczone treści: czy możesz wyświetlać treści wideo lub inne umieszczone treści? Czy preferencje użytkownika, takie jak język lub napisy, są zachowywane? Czy reklamy wyświetlają się zgodnie z oczekiwaniami, np. czy nie widzisz ich jako subskrybent wersji premium?
- Logowanie: czy logowanie, w tym logowanie jednokrotne (SSO), działa w przypadku elementów do umieszczenia, które je obsługują? Czy są one zachowywane po ponownym załadowaniu strony i przejściu do stron, które używają tych samych elementów do osadzania?
- Widżety do komentowania: czy możesz dodawać komentarze, polubienia i głosy na plus?
- Wbudowane rozwiązania płatnicze: czy możesz zrealizować płatności?
W następnych sekcjach znajdziesz bardziej szczegółowe informacje o tym, jak te procesy mogą zostać zmienione.
Częste przypadki użycia
Istnieje wiele interfejsów API, których można używać w przypadku elementów do umieszczenia, które tradycyjnie korzystały z plików cookie innych firm. W tabeli poniżej znajdziesz podsumowanie kilku typowych procesów i zalecanych interfejsów API. W kolejnych sekcjach wyjaśnimy, dlaczego zalecamy te działania.
| Przypadek użycia | Zalecany interfejs API do używania plików cookie innych firm |
|---|---|
| Widżet czatu | CHIPS |
| Umieszczanie map | CHIPS |
| Domeny piaskownicy dla niezaufanych treści użytkowników (takie jak googleusercontent.com i githubusercontent.com), które wymagają stanu ograniczonego do wydawcy. |
CHIPS |
| Reklamy umieszczone na stronie, które wymagają określenia zakresu stanu dla każdego wydawcy | CHIPS |
| Logowanie przez dostawcę tożsamości | FedCM |
| Osadzenie jest hostowane w innych, ale powiązanych domenach. | Storage Access API z zestawami powiązanych witryn |
| osadzanie treści z preferencjami opartymi na logowaniu (np. treści wideo bez reklam lub preferencje dotyczące języka/napisów); |
Storage Access API |
| Widżet komentowania w mediach społecznościowych wymagający logowania | Storage Access API |
Wybieranie odpowiedniego interfejsu API do osadzonych przypadków użycia innych firm
W tej sekcji dowiesz się, jak wybrać odpowiedni alternatywny interfejs API, i poznasz zalecane interfejsy API.
Ten schemat blokowy pomoże Ci wybrać jedną z dostępnych opcji:
Na schemacie blokowym zadajemy 3 główne pytania. Przyjrzymy się im bliżej i wyjaśnimy, dlaczego w każdym przypadku zalecany jest dany interfejs API.
1. Czy pliki cookie są powiązane z witryną, w której są osadzone?
Wiele elementów osadzonych firm zewnętrznych jest używanych niezależnie w całkowicie niepowiązanych witrynach. Na przykład widżety czatu do obsługi klienta często wymagają plików cookie, ale nie muszą ich udostępniać dwóm zupełnie różnym organizacjom, które korzystają z tego samego rozwiązania w postaci widżetu czatu. W wielu z tych przypadków preferowane byłoby nawet niedopuszczanie udostępniania plików cookie.
Jeśli udostępniasz innym witrynom usługę osadzania innych firm, która korzysta z plików cookie, zastanów się, czy te pliki cookie są specyficzne dla usługi w witrynie, w której jest ona osadzona. Czy są one kiedykolwiek udostępniane przez instancje Twojego kodu do umieszczania w innych witrynach?
Jeśli pliki cookie nie muszą być udostępniane, najłatwiejszym rozwiązaniem jest ich podział za pomocą CHIPS. Ten interfejs API wiąże pliki cookie innych firm z witryną najwyższego poziomu, zamiast zezwalać na ich udostępnianie przez wszystkie witryny, które używają tego samego osadzonego elementu innej firmy. CHIPS jest łatwy do wdrożenia, ponieważ wymaga tylko dodania dodatkowego atrybutu Partitioned do istniejących plików cookie. Umożliwia to wbudowanym usługom zapisywanie stanu, ale usuwa współdzieloną pamięć w różnych witrynach, która umożliwia śledzenie w różnych witrynach.
Witryny powinny też sprawdzać, czy pliki cookie są używane z odpowiednich powodów. Pliki cookie powinny być używane tylko wtedy, gdy są ustawione lub muszą być wysyłane z żądaniami HTTP. Jeśli tak nie jest, a pliki cookie są używane tylko jako wygodna opcja przechowywania danych, należy rozważyć użycie różnych interfejsów API do przechowywania danych. Dzięki temu dane pozostają lokalne, gdy nie trzeba ich wysyłać. Interfejsy API pamięci masowej są już podzielone na partycje we wszystkich głównych przeglądarkach w podobny sposób jak pliki cookie CHIPS.
2. Czy pliki cookie pochodzą od zewnętrznego dostawcy tożsamości?
Jednym z częstych zastosowań plików cookie innych firm w elementach osadzonych jest zapewnianie możliwości logowania zarządzanych przez zewnętrznego dostawcę usług logowania, np. Zaloguj się przez Google. W tym przypadku oddzielone pliki cookie nie są opcją.
Federated Credential Management (FedCM) to specjalny interfejs API przeznaczony do tego przypadku użycia, który działa bez plików cookie innych firm. Jeśli dostawca tożsamości obsługuje FedCM, może to wyeliminować konieczność używania plików cookie innych firm.
Więcej informacji o tym, jak radzić sobie z wpływem plików cookie innych firm na procesy logowania, znajdziesz w przewodniku po tożsamości.
3. Czy pliki cookie są używane w niewielkiej liczbie powiązanych witryn?
Jeśli żadna z poprzednich opcji nie jest odpowiednim zamiennikiem plików cookie, musisz ponownie włączyć dostęp do plików cookie innych firm w przypadku elementu do umieszczenia. Można to włączyć w określonych, kontrolowanych przypadkach użycia za pomocą interfejsu Storage Access API. Ten interfejs API ponownie włącza pełny dostęp do plików cookie innych firm (zgodnie z ustawieniami), więc jest to najskuteczniejsza opcja. Dlatego zalecamy unikanie tego ustawienia, jeśli wystarczy bardziej restrykcyjna alternatywa.
Aby korzystać z interfejsu Storage Access API, musisz spełnić kilka wymagań:
- Użytkownik musi wcześniej odwiedzić witrynę, w której znajduje się element do umieszczenia, na poziomie najwyższego poziomu. Jeśli na przykład osadzasz system komentarzy, użytkownik musi też odwiedzić witrynę tego systemu.
- Użytkownik musi wejść w interakcję z elementem do umieszczenia, zanim będzie można udostępnić pliki cookie. Oznacza to, że pełna treść osadzona może nie zostać wczytana przed interakcją użytkownika.
- Użytkownik może musieć zatwierdzić udostępnianie plików cookie w wyskakującym okienku przeglądarki, zwłaszcza za pierwszym razem i okresowo później.
- Witryna umieszczająca może też wymagać ustawienia dodatkowych atrybutów sandbox.
Te ograniczenia zapewniają, że zaawansowana funkcja ponownego włączania plików cookie innych firm jest używana tylko wtedy, gdy użytkownik i witryna tego oczekują. W niektórych przypadkach działania użytkownika mogą zostać pominięte. Jeśli na przykład użytkownik niedawno zezwolił na dostęp, przez pewien czas (określony przez przeglądarkę) nie trzeba ponownie wyświetlać mu prośby o zgodę.
Innym scenariuszem, w którym użytkownik może się tego spodziewać, są powiązane witryny. Niektóre organizacje używają np. wielu różnych domen, które przeglądarka traktuje jako należące do różnych witryn, więc używanie w nich plików cookie jest traktowane jako używanie plików cookie innych firm. Przykłady to marki z witrynami w poszczególnych krajach (np. example.com i example.co.uk) lub witryny konkretnych marek (np. example.car i example.house).
W takim przypadku, gdy liczba powiązanych witryn jest niewielka, możesz użyć zestawów powiązanych witryn. Witryny są przesyłane do Chrome, aby przeglądarka wiedziała, że są ze sobą powiązane. Umożliwia to dostęp do interfejsu Storage Access API w bardziej przyjazny dla użytkownika sposób, z mniejszą liczbą wyświetlanych mu komunikatów.
W przypadku niezwiązanych witryn, które są w rzeczywistości podmiotami zewnętrznymi i w których wymagany jest pełny dostęp do plików cookie innych firm, ponieważ alternatywne interfejsy API nie są wystarczające, korzystanie z interfejsu Storage Access API będzie podlegać pełnym wymaganiom i wyświetlaniu pełnych komunikatów.
Porównanie różnych interfejsów API
Każde z tych rozwiązań ma nieco inne cechy i ograniczenia, które sprawiają, że lepiej sprawdza się w określonych przypadkach użycia. W tej tabeli zestawiliśmy główne różnice:
| CHIPS | Partitioned Storage | FedCM | Storage Access API z zestawami powiązanych witryn | Storage Access API | |
|---|---|---|---|---|---|
| Użytkownik nie musi wcześniej uzyskiwać dostępu do wbudowanego podmiotu jako witryny najwyższego poziomu. | |||||
| Nie wymaga od użytkownika potwierdzenia dostępu | |||||
| Nie wymaga interakcji użytkownika z elementem do umieszczenia | (Może to być prawdą również w przypadku witryn umieszczonych na stronach z dostępem najwyższego poziomu). |
||||
| Nakład pracy związany z wdrożeniem | Bardzo niski | Niski | Wysoki | Średni | Średni |
| Może służyć do udostępniania plików cookie w wielu witrynach najwyższego poziomu lub domenach. | (Propozycja jest w trakcie omawiania.) |
||||
| Dostępne w przeglądarkach innych niż Chromium | (Wycofanie do Storage Access API) |
Obsługa przypadków użycia w różnych przeglądarkach
Zgodność z przeglądarkami jest jednym z głównych czynników przy wyborze rozwiązania, o czym wspomnieliśmy w ostatnim wierszu tabeli. Niektóre interfejsy API (CHIPS, FedCM, zestawy powiązanych witryn) są dostępne tylko w przeglądarkach Chromium. Obecnie jedyne 2 rozwiązania działające w różnych przeglądarkach to interfejsy API pamięci podzielonej na partycje (gdy pliki cookie nie są wymagane) i interfejs Storage Access API (gdy pliki cookie są wymagane).
Jednak jak wspomnieliśmy wcześniej, interfejs Storage Access API ma szereg ograniczeń, które mogą wpływać na wygodę użytkowników w Twojej witrynie. Zespół Chrome pracował nad dodaniem innych interfejsów API, które są przeznaczone do konkretnych zastosowań i zapewniają podobne możliwości jak pliki cookie innych firm. Dlatego zalecamy rozważenie, jakie są najlepsze opcje, i traktowanie ich jako stopniowych ulepszeń, z wykorzystaniem interfejsu Storage Access API w przypadku przeglądarek, które ich nie obsługują.
Pliki cookie mogą być blokowane z różnych powodów (np. ustawienia przeglądarki, rozszerzenia), więc wykrywanie obsługi interfejsu API może nie być wystarczające. Zamiast tego najlepiej sprawdzić, czy istnieją oczekiwane pliki cookie, a jeśli nie, wrócić do procesu interfejsu Storage Access API, aby poprosić o dostęp do plików cookie innych firm.
Podejmij działanie już teraz!
Jeśli osadzony element innej firmy nie działa już bez plików cookie innych firm, istnieje kilka rozwiązań, które pozwolą uniknąć potencjalnych problemów. Szczegółowe informacje znajdziesz w tym artykule. Sprawdź swoją usługę pod kątem plików cookie innych firm już teraz.
Jeśli w przypadku osadzonych elementów występują obecnie awarie, ponieważ Chrome testuje wycofanie plików cookie innych firm, możesz skorzystać z kilku krótkoterminowych opcji pomocy podczas migracji do alternatywnych rozwiązań opisanych w tym poście. Więcej informacji znajdziesz w dokumentacji zachowywania kluczowych funkcji dla użytkowników.
Jeśli masz pytania dotyczące przypadków użycia osadzania treści innych firm, które nie zostały omówione w tym przewodniku, możesz zgłosić nowy problem, używając tagu „third-party cookie deprecation” w naszym repozytorium pomocy dla deweloperów.