I cookie di terze parti hanno molti utilizzi, ma sono anche uno strumento fondamentale per il monitoraggio tra siti.
Chrome propone una nuova esperienza per la scelta dell'utente con i cookie di terze parti. Devi preparare il tuo sito per gli utenti che scelgono di navigare senza cookie di terze parti.
In questa pagina troverai informazioni sulle soluzioni che rispettano la privacy per scenari embedded che tradizionalmente si basano su cookie di terze parti, nonché strategie per aiutarti a scegliere la soluzione più adatta alle tue esigenze.
I servizi incorporati, o embed, includono contenuti di terze parti (ad esempio video, mappe), componenti interattivi (ad esempio chat, sistemi di commenti o servizi di pagamento), servizi di accesso e altro ancora.
La maggior parte del lavoro per la transizione dai cookie di terze parti deve essere eseguita dagli sviluppatori di embed, anziché dai siti che ospitano gli embed. Questa guida discute principalmente le soluzioni per gli sviluppatori che creano servizi integrati.
Se il tuo sito si basa su un'integrazione che utilizza cookie di terze parti, assicurati di eseguire audit e test dei percorsi relativi all'integrazione e di contattare i fornitori di integrazione se riscontri interruzioni.
Controlla e testa i percorsi utente relativi all'embed
Il modo migliore per determinare se i tuoi incorporamenti sono interessati dai cookie di terze parti è testare i flussi di utenti degli incorporamenti di terze parti con l'opzione di test dei cookie di terze parti attivata.
Dopo aver limitato i cookie di terze parti, testa questi scenari di incorporamento comuni:
- Widget di Chat: riesci ad avviare una sessione di chat? Puoi aggiornare la pagina senza perdere la sessione? Riesci ad accedere ad altre pagine e a mantenere la sessione?
- Incorporazione di contenuti:riesci a visualizzare contenuti video o altri contenuti incorporati? Le preferenze dell'utente, ad esempio la lingua o i sottotitoli, vengono mantenute? Vedi gli annunci come previsto, ad esempio non li vedi come abbonato Premium?
- Accesso: gli accessi, inclusi quelli Single Sign-On (SSO), funzionano per gli incorporamenti che li supportano? Rimangono invariati dopo la ricarica della pagina e la navigazione verso pagine che utilizzano gli stessi elementi incorporati?
- Widget per i commenti: puoi lasciare commenti, mettere Mi piace e aggiungere un voto positivo?
- Soluzioni di pagamento integrate: riesci a completare i pagamenti?
Nelle sezioni successive troverai informazioni più specifiche su come questi flussi potrebbero essere interessati.
Casi d'uso comuni
Esistono diverse API che possono essere utilizzate per gli elementi incorporati che tradizionalmente si basano su cookie di terze parti. La tabella seguente elenca alcuni flussi di lavoro comuni e le API consigliate da utilizzare come riepilogo di alto livello. Le sezioni seguenti spiegheranno il ragionamento alla base di questi consigli.
| Caso d'uso | API consigliata per l'utilizzo dei cookie di terze parti |
|---|---|
| Widget di Chat | CHIPS |
| Incorporamenti delle mappe | CHIPS |
| Domini sandbox per contenuti utente non attendibili (come googleusercontent.com e githubusercontent.com) che richiedono l'ambito dello stato per editore |
CHIPS |
| Annunci incorporati che richiedono l'ambito dello stato per publisher | CHIPS |
| Accedere tramite un provider di identità | FedCM |
| Embedding ospitato su origini diverse, ma correlate. | API Accesso allo spazio di archiviazione con set di siti web correlati |
| Contenuti incorporati con preferenze basate sull'accesso (ad es. contenuti video senza annunci o preferenze relative a lingua/sottotitoli) |
API Storage Access |
| Widget per i commenti sui social media che richiede l'accesso | API Storage Access |
Scegliere l'API da utilizzare per i casi d'uso di terze parti incorporati
Questa sezione illustra come scegliere un'API alternativa appropriata e descrive le API consigliate.
Il seguente diagramma di flusso ti aiuta a scegliere tra le opzioni disponibili:
Il diagramma di flusso pone tre domande principali, che esamineremo più nel dettaglio, e spiega perché è consigliata una determinata API in ogni caso.
1. I cookie sono specifici per il sito di incorporamento?
Molti elementi incorporati di terze parti vengono utilizzati in modo indipendente su siti completamente estranei. Ad esempio, i widget di chat per l'assistenza clienti spesso richiedono cookie per funzionare, ma non è necessario condividerli tra due organizzazioni completamente diverse che utilizzano entrambe la stessa soluzione di widget di chat. In effetti, la preferenza sarebbe quella di non consentire nemmeno la condivisione dei cookie in molti di questi casi.
Se fornisci un servizio di incorporamento di terze parti ad altri siti e questo si basa su cookie, valuta se questi cookie sono specifici per il servizio sul sito su cui è incorporato. Vengono mai condivisi da istanze del tuo codice incorporato su altri siti?
Se i cookie non devono essere condivisi, la soluzione più semplice è suddividerli utilizzando CHIPS. Questa API lega i cookie di terze parti al sito di primo livello, anziché consentire la loro condivisione da parte di tutti i siti che utilizzano lo stesso incorporamento di terze parti. CHIPS è facile da implementare perché richiede solo di aggiungere un attributo Partitioned aggiuntivo ai cookie esistenti. In questo modo, i servizi incorporati possono comunque salvare lo stato, ma viene rimosso lo spazio di archiviazione cross-site condiviso che consentirebbe il monitoraggio tra siti.
I siti devono anche verificare se i cookie vengono utilizzati per i motivi giusti. I cookie devono essere utilizzati solo quando sono impostati o devono essere inviati con le richieste HTTP. Se non è così e i cookie vengono utilizzati solo come comoda opzione di archiviazione, è meglio prendere in considerazione le varie API di archiviazione. In questo modo, i dati rimangono locali quando non è necessario inviarli. Le API di archiviazione sono già partizionate in tutti i principali browser, in modo simile a come CHIPS partiziona i cookie.
2. I cookie sono per un provider di identità di terze parti?
Un uso comune dei cookie di terze parti negli elementi incorporati è fornire funzionalità di accesso gestite da un fornitore di servizi di accesso di terze parti, ad esempio Accedi con Google. I cookie con stato partizionato non sono un'opzione in questo caso.
Federated Credential Management (FedCM) è un'API dedicata specificamente per questo caso d'uso e funziona senza cookie di terze parti. Se FedCM è supportato dal provider di identità, potrebbe non essere necessario utilizzare i cookie di terze parti.
Puoi scoprire di più su come gestire gli effetti dei cookie di terze parti sulle procedure di accesso nella guida sull'identità.
3. I cookie vengono utilizzati su un numero limitato di siti correlati?
Se nessuna delle opzioni precedenti è una sostituzione adatta per i cookie, devi riattivare l'accesso ai cookie di terze parti per l'embed. Questa operazione può essere attivata in casi d'uso specifici e controllati con l'API Accesso allo spazio di archiviazione. Questa API riattiva l'accesso completo ai cookie di terze parti (in base ai controlli), quindi è l'opzione più efficace. Per questo motivo, il consiglio è di evitarlo se è sufficiente un'alternativa più restrittiva.
Esistono alcuni requisiti per l'utilizzo dell'API Storage Access:
- L'utente deve aver visitato in precedenza il sito dell'embed a livello superiore. Ad esempio, se incorpori un sistema di commenti, l'utente deve visitare anche il sito di quel sistema.
- L'utente deve interagire con l'embed prima che i cookie possano essere condivisi. Ciò significa che potrebbe non essere possibile caricare tutti i contenuti incorporati prima dell'interazione dell'utente.
- L'utente potrebbe dover approvare la condivisione dei cookie con un popup del browser, in particolare la prima volta e periodicamente in seguito.
- Il sito di incorporamento potrebbe anche dover impostare attributi aggiuntivi della sandbox.
Queste limitazioni assicurano che l'azione efficace di riattivare i cookie di terze parti venga eseguita solo quando l'utente e il sito lo prevedono. Tuttavia, in alcuni scenari, le azioni dell'utente potrebbero essere ignorate. Ad esempio, se l'utente ha approvato di recente l'accesso, potrebbe non essere necessario richiedere nuovamente il consenso per un determinato periodo di tempo (come definito dal browser).
Un altro scenario in cui è probabile che questo venga previsto dall'utente è per i siti correlati. Ad esempio, alcune organizzazioni utilizzano una serie di origini diverse, che vengono considerate cross-site dal browser, pertanto l'utilizzo dei cookie tra queste origini viene considerato di terze parti. Alcuni esempi sono brand con siti specifici per paese (ad esempio example.com e example.co.uk) o siti web specifici per brand (ad esempio example.car e example.house).
In questo caso, se il numero di siti web correlati è ridotto, puoi utilizzare gli insiemi di siti web correlati. I siti vengono inviati a Chrome, in modo che Chrome sappia che sono correlati. In questo modo, è possibile accedere all'API Accesso allo spazio di archiviazione in modo più intuitivo, con meno richieste all'utente.
Per i siti web non correlati che sono effettivamente di terze parti e per i quali è richiesto l'accesso completo ai cookie di terze parti perché le API alternative non sono sufficienti, l'utilizzo dell'API Accesso allo spazio di archiviazione sarà soggetto a requisiti e richieste completi.
Confronto delle varie API
Ognuna delle soluzioni ha caratteristiche e limitazioni leggermente diverse che le rendono una scelta migliore per determinati casi d'uso. La seguente tabella riassume le principali differenze:
| CHIPS | Spazio di archiviazione partizionato | FedCM | API Accesso allo spazio di archiviazione con set di siti web correlati | API Storage Access | |
|---|---|---|---|---|---|
| L'utente non deve aver già eseguito l'accesso alla parte incorporata come sito di primo livello | |||||
| Non richiede all'utente di approvare l'accesso | |||||
| Non richiede all'utente di interagire con l'embed | (può essere vero anche per i siti incorporati con accesso di primo livello). |
||||
| Impegno di implementazione | Molto basso | Bassa | Alta | Medio | Medio |
| Può essere utilizzato per condividere i cookie su più siti/origini di primo livello | (Proposta in discussione) |
||||
| Disponibile su browser non Chromium | (viene utilizzata l'API Storage Access.) |
Supporto di casi d'uso su più browser
La compatibilità del browser è uno dei fattori principali per decidere su una soluzione, come accennato nell'ultima riga della tabella. Alcune API (CHIPS, FedCM, Related WebSite Sets) sono disponibili solo sui browser Chromium. Al momento, le uniche due soluzioni cross-browser sono le API di archiviazione partizionate (quando i cookie non sono obbligatori) o l'API Storage Access (quando i cookie sono obbligatori).
Tuttavia, come indicato in precedenza, l'API Accesso allo spazio di archiviazione presenta una serie di limitazioni che possono influire sull'esperienza utente sul tuo sito web. Il team di Chrome ha lavorato all'aggiunta delle altre API, che sono progettate per soddisfare casi d'uso specifici e offrire un'esperienza simile a quella che è stata possibile con i cookie di terze parti. Pertanto, ti consigliamo di esaminare le opzioni migliori e di trattarle come miglioramenti progressivi, con un fallback all'API Accesso allo spazio di archiviazione per i browser non supportati.
Poiché i cookie possono essere bloccati per una serie di motivi (ad esempio impostazioni del browser, estensioni), il rilevamento delle funzionalità del supporto dell'API potrebbe non essere sufficiente. È invece preferibile verificare se i cookie previsti esistono e, in caso contrario, eseguire il flusso di lavoro dell'API Accesso allo spazio di archiviazione per richiedere l'accesso ai cookie di terze parti.
Intervieni subito.
Se l'embed di terze parti non funziona più senza l'utilizzo di cookie di terze parti, sono disponibili diverse soluzioni per gestire il possibile impatto, come descritto in questo intervento. È giunto il momento di eseguire un controllo del tuo servizio per verificare la presenza di cookie di terze parti. Non perdere tempo.
Per chi sta riscontrando problemi con gli elementi incorporati ora che Chrome sta testando la rimozione dei cookie di terze parti, esistono diverse opzioni a breve termine per ricevere assistenza durante la migrazione alle alternative descritte in questo post. Per ulteriori informazioni, consulta la documentazione relativa al mantenimento delle esperienze utente critiche.
Se hai domande sui casi d'uso degli elementi incorporati di terze parti non trattati in questa guida, puoi inviare un nuovo problema utilizzando il tag "ritiro dei cookie di terze parti" nel nostro repository di assistenza per gli sviluppatori.