Es ist wichtig, dass Websites und Dienste auf die Einschränkungen für Drittanbieter-Cookies vorbereitet sind, einschließlich der Umstellung auf datenschutzfreundlichere Alternativen.
Um Entwickler bei der Umstellung zu unterstützen, werden in Chrome während dieser Zeit auch Heuristiken verwendet, die für vordefinierte Abläufe vorübergehenden Zugriff auf Drittanbieter-Cookies gewähren, um Unterbrechungen zu vermeiden. In bestimmten Fällen wird der Zugriff automatisch gewährt, ohne dass Entwickler zusätzliche Arbeit leisten müssen. Dies ist jedoch eine vorübergehende Maßnahme. Wir gehen davon aus, dass die Heuristiken in Zukunft vollständig entfernt werden und Entwickler zu langfristigen Lösungen migrieren.
Szenarien für heuristisch basierte Ausnahmen
Die Heuristiken sollen in erster Linie Authentifizierungsszenarien erkennen, bei denen eine Website der obersten Ebene entweder ein Pop-up-Fenster öffnet oder für einen Vorgang zu einer Drittanbieterwebsite weiterleitet und dann zur Website der obersten Ebene zurückkehrt, wobei entweder auf dem Rückweg oder im eingebetteten Kontext ein Cookie verwendet wird.
In den folgenden Beispielen wird beschrieben, in welchen Fällen der Browser basierend auf bestimmten Vertrauenssignalen automatisch den Zugriff auf Drittanbieter-Cookies gewährt. Diese Vertrauenssignale basieren weitgehend auf Mustern und Anforderungen an die Nutzerinteraktion.
Szenario A: Zugriff auf Drittanbieter-Cookies nach Interaktion mit einem Pop-up
- Der Nutzer ruft Website A auf
- Der Nutzer lädt eine Ressource auf Website B in einem Pop-up-Fenster mit Öffnerzugriff, möglicherweise nach einer Reihe von HTTP-Weiterleitungen*.
- Die Ressource auf Website B erhält nach dem Laden eine Nutzerinteraktion.
Nach diesem Ablauf ist für 30 Tage der Zugriff auf Drittanbieter-Cookies für Website B zulässig, wenn sie in Website A eingebettet ist.
Szenario B: Zugriff auf Drittanbieter-Cookies nach Interaktion über Weiterleitungen
- Der Nutzer beginnt auf Website A und wird dann zu Website B weitergeleitet.
- Auf Website B erfolgt eine Nutzerinteraktion.
- Website B leitet dann (möglicherweise über andere Ursprünge) zurück zu Website A weiter.
Nach diesem Ablauf ist für 15 Minuten der Zugriff auf Drittanbieter-Cookies für Website B zulässig, wenn sie in Website A eingebettet ist.
Die Cookie-Zugriffsberechtigung gilt nur für das Paar aus Website des Publishers und Website des Drittanbieters. Wenn beispielsweise ein Szenario mit der Website „a.com“ und der Drittanbieter-Website „b.com“ erfüllt ist, darf jede Seite auf „b.com“ auf Cookies zugreifen, wenn sie als Ressource oder Iframe auf einer beliebigen Seite auf „a.com“ geladen wird. Diese Berechtigung gilt nicht für andere Drittanbieterwebsites unter a.com, b.com als Drittanbieterressource einer anderen Top-Level-Domain oder b.com, wenn sie indirekt in a.com mit anderen websiteübergreifenden (d.h. nicht a.com oder b.com) Iframes in der übergeordneten Zwischenkette eingebettet ist . Außerdem darf der Cookie-Zugriff nicht für Ressourcen von b.com gewährt werden, die über andere Iframes eingebettet sind, die websiteübergreifend für b.com sind.
Weitere Informationen zu den Heuristiken finden Sie im entsprechenden Erläuterungsartikel.
In der Demo zu heuristisch basierten Ausnahmen können Sie den Zugriff auf Drittanbieter-Cookies mit und ohne heuristische Ausnahmen testen.