Pliki cookie innych firm mają wiele zastosowań, ale są też kluczowym elementem umożliwiającym śledzenie między witrynami.
Chrome proponuje nowe rozwiązanie, które daje użytkownikom możliwość wyboru w przypadku plików cookie innych firm. Musisz przygotować swoją witrynę na potrzeby użytkowników, którzy zdecydują się przeglądać ją bez plików cookie innych firm.
Na tej stronie znajdziesz informacje o rozwiązaniach zapewniających ochronę prywatności w ramach osadzonych scenariuszy, które tradycyjnie opierały się na plikach cookie innych firm, oraz strategie, które pomogą Ci wybrać rozwiązanie najlepiej dopasowane do Twoich potrzeb.
Usługi umieszczone lub wbudowane obejmują treści innych firm (np. filmy, mapy), komponenty interaktywne (np. czat, systemy komentarzy czy usługi płatnicze) oraz usługi logowania.
Większość pracy związanej z przejściem z plików cookie innych firm musi zostać wykonana przez deweloperów funkcji embedowania, a nie przez witryny, które je hostują. W tym przewodniku omówimy głównie rozwiązania dla deweloperów, którzy tworzą usługi wbudowane.
Jeśli Twoja witryna korzysta z elementu embed, który używa plików cookie innych firm, sprawdź i przetestuj ścieżki związane z elementem embed. Jeśli wykryjesz jakieś problemy, skontaktuj się z dostawcami elementów embed.
Sprawdzanie i testowanie ścieżek użytkowników związanych z osadzonymi treściami
Najlepszym sposobem na sprawdzenie, czy pliki cookie innych firm wpływają na Twoje treści, jest przetestowanie ścieżek użytkowników dla treści osadzionych innych firm z włączoną flagą testowania plików cookie innych firm.
Po ograniczeniu plików cookie innych firm przetestuj te typowe scenariusze osadzenia:
- Widżety czatu: czy możesz rozpocząć sesję czatu? Czy możesz odświeżyć stronę bez utraty sesji? Czy możesz przejść do innych stron i utrzymać swoją sesję?
- Umieszczone treści: czy możesz wyświetlić treści wideo lub inne umieszczone treści? Czy zachowane są preferencje użytkownika, takie jak język czy napisy? Czy reklamy wyświetlają się zgodnie z oczekiwaniami, np. nie widzisz ich jako subskrybent premium?
- Logowanie: czy logowanie (w tym logowanie jednokrotne) działa w przypadku elementów embedowanych, które je obsługują? Czy są one zachowywane po ponownym wczytaniu stron i nawigacji do stron, które używają tych samych elementów?
- Widgety do komentowania: czy możesz dodawać komentarze, klikać „Podoba mi się” i głosować na komentarze?
- Zintegrowane rozwiązania do obsługi płatności: czy możesz zrealizować płatności?
W następnych sekcjach znajdziesz szczegółowe informacje o tym, jak te procesy mogą zostać zmienione.
Typowe zastosowania
Istnieje wiele interfejsów API, które można stosować do umieszczania treści, które tradycyjnie korzystały z plików cookie innych firm. W tabeli poniżej znajdziesz kilka typowych przepływów pracy oraz zalecane interfejsy API, które warto wykorzystać. W następnych sekcjach wyjaśnimy, dlaczego zalecamy te zmiany.
| Przypadek użycia | Zalecane interfejsy API do korzystania z plików cookie innych firm |
|---|---|
| Widżet czatu | CHIPS |
| Wstawianie map | CHIPS |
| Domeny piaskownicy dla zaufanych treści użytkowników (takich jak googleusercontent.com i githubusercontent.com), które wymagają ograniczonego stanu na podstawie wydawcy |
CHIPS |
| Wstawione reklamy, które wymagają stanu określonego dla każdego wydawcy | CHIPS |
| Logowanie się za pomocą dostawcy tożsamości | FedCM |
| umieszczanie w ramach różnych, ale powiązanych ze sobą źródeł; | Storage Access API z powiązanymi zestawami witryn |
| treści wbudowane z uwzględnieniem preferencji logowania (np. treści wideo bez reklam lub preferencje dotyczące języka/napisów); |
Storage Access API |
| Widget do komentowania w mediach społecznościowych wymagający logowania | Storage Access API |
Wybieranie interfejsu API do użycia w ramach wbudowanych zastosowań zewnętrznych
Z tej sekcji dowiesz się, jak wybrać odpowiedni interfejs API i co to są zalecane interfejsy API.
Poniższy schemat pomoże Ci wybrać jedną z dostępnych opcji:
Schemat przepływu danych zawiera 3 główne pytania, które omówimy szczegółowo, a także podajemy, dlaczego w każdym przypadku zalecamy użycie danego interfejsu API.
1. Czy pliki cookie są powiązane z witryną, w której znajdują się treści?
Wiele elementów embedowanych pochodzących od innych firm jest używanych niezależnie w zupełnie niepowiązanych witrynach. Na przykład widżety czatu dla obsługi klienta często wymagają plików cookie, ale nie trzeba udostępniać tych plików cookie dwóm zupełnie różnym organizacjom, które korzystają z tego samego rozwiązania dotyczącego widżetu czatu. W większości przypadków lepiej jest nie zezwalać na udostępnianie plików cookie.
Jeśli udostępniasz innym witrynom usługę osadzenia pochodzącą od innej firmy i korzystasz w niej z plików cookie, zastanów się, czy są one związane z usługą w witrynie, w której są osadzone. Czy są one udostępniane przez osoby, które mają dostęp do Twoich treści w innych witrynach?
Jeśli pliki cookie nie muszą być udostępniane, najłatwiej jest podzielić je za pomocą CHIPS. Ten interfejs API łączy pliki cookie innych firm z witryną najwyższego poziomu, zamiast zezwalać na ich udostępnianie wszystkim witrynom, które korzystają z tego samego elementu osadzonego. Technologia CHIPS jest łatwa do wdrożenia, ponieważ wymaga tylko dodania dodatkowego atrybutu Partitioned do dotychczasowych plików cookie. Dzięki temu usługi osadzone nadal mogą zapisywać stan, ale usunięte zostaje współdzielone miejsce na dane w witrynach, które umożliwia śledzenie w witrynach.
Witryny powinny też sprawdzać, czy pliki cookie są używane z odpowiednich powodów. Pliki cookie należy używać tylko wtedy, gdy są ustawione lub muszą być wysyłane z żądaniami HTTP. Jeśli tak nie jest i pliki cookie są używane tylko jako wygodna opcja przechowywania, warto rozważyć użycie różnych interfejsów API do przechowywania. Dzięki temu dane pozostają na urządzeniu, gdy nie trzeba ich wysyłać. Interfejsy API pamięci są już podzielone na partycje we wszystkich głównych przeglądarkach w sposób podobny do tego, w jaki system CHIPS dzieli na partycje pliki cookie.
2. Czy pliki cookie należą do zewnętrznego dostawcy tożsamości?
Pliki cookie innych firm są często używane w elementach osadzionych do logowania, które są zarządzane przez zewnętrznego dostawcę logowania, np. Zaloguj się przez Google. W tym przypadku pliki cookie z oddzielonymi elementami nie są dostępne.
Zarządzanie uwierzytelnieniami federacyjnymi (FedCM) to interfejs API przeznaczony do tego konkretnego zastosowania, który działa bez plików cookie innych firm. Jeśli dostawca tożsamości obsługuje FedCM, może to wyeliminować potrzebę korzystania z plików cookie innych firm.
Więcej informacji o tym, jak rozwiązać problemy związane z plikami cookie innych firm w procesach logowania, znajdziesz w przewodniku dotyczącym tożsamości.
3. Czy pliki cookie są używane w niewielkiej liczbie powiązanych witryn?
Jeśli żaden z poprzednich sposobów nie zastępuje plików cookie, musisz ponownie włączyć dostęp do plików cookie innych firm w przypadku osadzenia. Można to włączyć w konkretnych, kontrolowanych przypadkach użycia za pomocą interfejsu Storage Access API. Ten interfejs API ponownie włącza pełny dostęp do plików cookie innych firm (z ograniczeniami), więc jest to najbardziej zaawansowana opcja. Dlatego zalecamy unikanie tego rozwiązania, jeśli wystarczające jest bardziej restrykcyjne.
Aby korzystać z interfejsu Storage Access API, musisz spełnić kilka wymagań:
- Użytkownik musi wcześniej otworzyć witrynę, w której znajduje się element do osadzenia, na najwyższym poziomie. Jeśli na przykład osadzasz system komentarzy, użytkownik musi też odwiedzić stronę tego systemu.
- Użytkownik musi wejść w interakcję z elementem embedowanym, zanim będzie można udostępniać pliki cookie. Oznacza to, że przed interakcją użytkownika może nie być możliwe załadowanie wszystkich treści.
- Użytkownik może być proszony o zatwierdzenie udostępniania plików cookie za pomocą wyskakującego okienka przeglądarki, zwłaszcza po raz pierwszy i okresowo w późniejszym czasie.
- Może też być konieczne skonfigurowanie dodatkowych atrybutów piaskownicy.
Te ograniczenia zapewniają, że ponowne włączenie plików cookie innych firm odbywa się tylko wtedy, gdy użytkownik i witryna tego oczekują. W niektórych przypadkach jednak działania użytkownika mogą zostać pominięte. Jeśli na przykład użytkownik niedawno zatwierdził dostęp, możesz nie musieć ponownie wyświetlać prośby przez pewien czas (zdefiniowany przez przeglądarkę).
W innym przypadku użytkownik może oczekiwać, że witryny będą powiązane. Na przykład niektóre organizacje używają wielu różnych źródeł, które są traktowane przez przeglądarkę jako pochodzące z różnych witryn, więc używanie plików cookie w tych źródłach jest traktowane jako korzystanie z plików cookie innych firm. Przykłady obejmują marki z witrynami w konkretnych krajach (np. example.com i example.co.uk) lub witryny poszczególnych marek (np. example.car i example.house).
W takim przypadku, gdy jest niewiele powiązanych witryn, możesz użyć zestawów powiązanych witryn. Witryny są przesyłane do Chrome, aby Chrome wiedział, że są powiązane. Dzięki temu interfejs Storage Access API jest bardziej przyjazny dla użytkownika i wymaga od niego mniej interakcji.
W przypadku niezwiązanych stron internetowych, które są w istocie stronami firm zewnętrznych, i gdzie wymagany jest pełny dostęp do plików cookie innych firm, ponieważ alternatywne interfejsy API nie wystarczają, korzystanie z interfejsu Storage Access API będzie podlegać pełnym wymaganiom i wyświetlanym komunikatom.
Porównanie różnych interfejsów API
Każde z tych rozwiązań ma nieco inne właściwości i ograniczenia, które sprawiają, że są one lepszym wyborem w przypadku niektórych zastosowań. W tej tabeli zestawiono główne różnice:
| CHIPS | Partycjonowane miejsce na dane | FedCM | Storage Access API z powiązanymi zestawami stron | Storage Access API | |
|---|---|---|---|---|---|
| Użytkownik nie musi wcześniej uzyskiwać dostępu do załączonej strony jako witryny najwyższego poziomu. | |||||
| Nie wymaga od użytkownika prośby o zatwierdzenie dostępu | |||||
| nie wymaga interakcji użytkownika z zawartością, | (Może to być prawda w przypadku osadzonych witryn z dostępem na najwyższym poziomie). |
||||
| Nakład pracy związany z wdrożeniem | bardzo niskie, | Niski | Wysoka | Średni | Średni |
| Może służyć do udostępniania plików cookie w wielu witrynach najwyższego poziomu lub witrynach pochodzenia. | (propozycja jest w trakcie dyskusji) |
||||
| Dostępne w przeglądarkach innych niż Chrome | (Przechodzi do Storage Access API.) |
Obsługa przypadków użycia w różnych przeglądarkach
Zgodność z przeglądarkami jest jednym z głównych czynników, które należy wziąć pod uwagę przy wyborze rozwiązania, o czym wspominamy w ostatnim wierszu tabeli. Niektóre interfejsy API (CHIPS, FedCM, powiązane zestawy stron internetowych) są dostępne tylko w przeglądarkach Chromium. Obecnie istnieją 2 rozwiązania działające w różnych przeglądarkach: interfejsy API partycjonowanego magazynu (gdy pliki cookie nie są wymagane) lub interfejs Storage Access API (gdy pliki cookie są wymagane).
Jak już wspomnieliśmy, interfejs Storage Access API ma pewne ograniczenia, które mogą wpływać na wygodę użytkowników Twojej witryny. Zespół Chrome pracował nad dodaniem innych interfejsów API, które są przeznaczone do określonych zastosowań i zapewniają działanie podobne do tego, jakie było możliwe dzięki plikom cookie innych firm. Dlatego warto zastanowić się, które opcje są najlepsze, i traktować je jako stopniowe ulepszenia, a w przypadku przeglądarek, które ich nie obsługują, stosować interfejs Storage Access API.
Ponieważ pliki cookie mogą być blokowane z różnych powodów (np. ze względu na ustawienia przeglądarki lub rozszerzenia), wykrywanie obsługi interfejsu API może nie wystarczyć. Zamiast tego najlepiej sprawdzić, czy oczekiwane pliki cookie istnieją, a jeśli nie, wrócić do przepływu pracy interfejsu Storage Access API, aby poprosić o dostęp do plików cookie innych firm.
Podejmij działanie już teraz.
Jeśli wbudowany element innej firmy nie działa już bez plików cookie innych firm, możesz skorzystać z kilku rozwiązań, które pozwolą Ci rozwiązać ten problem. Sprawdź, czy obecnie w Twojej usłudze są używane pliki cookie innych firm.
Jeśli obecnie masz problemy z wstawionymi treściami, ponieważ Chrome testuje usunięcie plików cookie innych firm, możesz skorzystać z kilku opcji krótkoterminowych, które pomogą Ci przejść na alternatywne rozwiązania opisane w tym poście. Więcej informacji znajdziesz w dokumentacji dotyczącej zachowywania kluczowych funkcji dla użytkowników.
Jeśli masz pytania dotyczące przypadków użycia funkcji osadzenia innych firm, które nie zostały omówione w tym przewodniku, możesz opublikować nowy problem, używając tagu „wycofanie plików cookie innych firm” w naszym repozytorium pomocy dla deweloperów.