Desativação dos cookies de terceiros nos fluxos de trabalho de incorporação

Cookies de terceiros têm muitos usos, mas também são um facilitador fundamental do rastreamento entre sites. O Chrome restringiu os cookies de terceiros para 1% dos usuários a partir do 1o trimestre de 2024 para facilitar os testes e planeja descontinuar os cookies de terceiros para 100% dos usuários a partir do início de 2025, sujeito a questões de concorrência restantes da Autoridade de Concorrência e Mercados (CMA) do Reino Unido.

Nesta página, você vai encontrar informações sobre soluções que preservam a privacidade para cenários incorporados que tradicionalmente dependiam de cookies de terceiros e estratégias para ajudar a escolher qual solução melhor se adapta às suas necessidades.

Eles incluem conteúdo de terceiros (como vídeos e mapas), componentes interativos (como chat, sistemas de comentários ou serviços de pagamento), serviços de login e muito mais.

A maior parte do trabalho para fazer a transição de cookies de terceiros precisa ser feito por desenvolvedores de incorporação, e não por sites que hospedam incorporações. Este guia discutirá principalmente soluções para desenvolvedores que criam serviços incorporados.

Caso seu site dependa de uma incorporação que use cookies de terceiros, audite e teste as jornadas relacionadas e entre em contato com os provedores de incorporação se você descobrir alguma falha.

Audite e teste as jornadas do usuário relacionadas à incorporação

A melhor maneira de determinar se suas incorporações serão afetadas pela descontinuação de cookies de terceiros é testar os fluxos de usuários de incorporação de terceiros com a flag de teste de descontinuação de cookies de terceiros ativada.

Depois de restringir os cookies de terceiros, teste estes cenários de incorporação comuns:

  • Widgets de chat:você consegue iniciar uma sessão de chat? Você consegue atualizar a página sem perder sua sessão? Você consegue navegar para outras páginas e manter sua sessão?
  • Incorporações de conteúdo:você pode ver conteúdo em vídeo ou outro conteúdo incorporado? As preferências do usuário, como idioma ou legendas, são mantidas? Os anúncios estão sendo exibidos quando esperado, por exemplo, não como um assinante premium?
  • Login: os logins, incluindo os de Logon único (SSO), estão funcionando para incorporações compatíveis? Eles são mantidos por meio de atualizações de página e navegação para páginas que usam as mesmas incorporas?
  • Widgets de comentários:é possível deixar, marcar com "Gostei" e votar em comentários?
  • Soluções de pagamento incorporadas:você consegue concluir os pagamentos?

Nas próximas seções, você vai encontrar informações mais específicas sobre como esses fluxos podem ser afetados.

Casos de uso comuns

Várias APIs podem ser usadas para incorporações que, tradicionalmente, dependiam de cookies de terceiros. A tabela a seguir lista alguns fluxos de trabalho comuns e as APIs recomendadas para usar como resumo geral. As seções a seguir explicam o raciocínio dessas recomendações.

Caso de uso API recomendada para o uso de cookies de terceiros
Widget do Chat CHIPS (link em inglês)
Incorporações do mapa CHIPS (link em inglês)
Domínios de sandbox para conteúdo de usuários não confiável
(como googleusercontent.com e githubusercontent.com) que precisam de um escopo de estado por editor
CHIPS (link em inglês)
Anúncios incorporados que precisam do escopo do estado por editor CHIPS (link em inglês)
Fazer login com um provedor de identidade FedCM
Incorporação hospedada em origens diferentes, mas relacionadas. API Storage Access com conjuntos de sites relacionados
O conteúdo é incorporado com preferências baseadas em login
(como conteúdo de vídeo sem anúncios ou preferências de idioma/legenda)
API Storage Access
Widget de comentários de mídias sociais que exige login API Storage Access
APIs alternativas recomendadas para casos de uso comuns

Como escolher a API a ser usada nos casos de uso incorporados de terceiros

Esta seção mostra como escolher uma API alternativa adequada e explica as APIs recomendadas.

O fluxograma a seguir ajuda a escolher entre as opções disponíveis:

Fluxograma de opções para decidir sobre a alternativa de cookies de terceiros com base em três perguntas.
Como decidir qual API usar para incorporações de cookies de terceiros

O fluxograma faz três perguntas principais e vamos analisá-las com mais detalhes e por que uma determinada API é recomendada em cada caso.

1. Os cookies são específicos ao site incorporado?

Muitas incorporações de terceiros são usadas de forma independente em sites não relacionados. Por exemplo, os widgets de chat para suporte ao cliente geralmente precisam de cookies para funcionar, mas não precisam compartilhar esses cookies entre duas organizações completamente diferentes que usam a mesma solução de widget de chat. De fato, a preferência seria não permitir o compartilhamento de cookies em muitos desses casos.

Se você fornece um serviço de incorporação de terceiros a outros sites e ele depende de cookies, verifique se esses cookies são específicos do serviço no site em que está incorporado. Elas são compartilhadas por instâncias da sua incorporação em outros sites?

Se não for necessário compartilhar os cookies, o particionamento usando os CHIPS é a opção mais fácil. Essa API vincula cookies de terceiros ao site de nível superior em vez de permitir que eles sejam compartilhados por todos os sites que usam a mesma incorporação de terceiros. O CHIPS é fácil de implementar, porque exige apenas a adição de um atributo Partitioned extra aos cookies atuais. Isso permite que os serviços incorporados ainda salvem o estado, mas remove o armazenamento compartilhado entre sites que permitiria o rastreamento entre sites.

Os sites também precisam verificar se os cookies estão sendo usados pelos motivos corretos. Os cookies só devem ser usados quando estiverem definidos ou precisarem ser enviados com solicitações HTTP. Se esse não for o caso e os cookies forem usados apenas como uma opção de armazenamento conveniente, considere usar as diversas APIs de armazenamento. Isso mantém os dados no local quando não precisam ser enviados. As APIs de armazenamento já estão particionadas nos principais navegadores, de maneira semelhante à partição de cookies pelo CHIPS.

2. Os cookies são de um provedor de identidade de terceiros?

Um uso comum de cookies de terceiros em incorporações é fornecer recursos de login gerenciados por um provedor de login de terceiros, como Fazer login com um Google. Cookies particionados não são uma opção nesse caso.

O Federated Credential Management (FedCM) é uma API dedicada especificamente para este caso de uso e funciona sem cookies de terceiros. Se o provedor de identidade oferecer suporte ao FedCM, talvez ele não precise mais de cookies de terceiros.

Leia mais sobre como abordar os efeitos da desativação dos cookies de terceiros nos fluxos de trabalho de login no guia de identidade.

Se nenhuma das opções anteriores substituir os cookies, será necessário reativar o acesso a cookies de terceiros para a incorporação. Isso pode ser ativado em casos de uso específicos e controlados com a API Storage Access. Essa API reativa o acesso total a cookies de terceiros (sujeito a controles), por isso é a opção mais eficiente. É por isso que a recomendação é evitá-lo se uma alternativa mais restritiva for suficiente.

Há alguns requisitos para usar a API Storage Access:

  • O usuário precisa ter visitado anteriormente o site da incorporação em um nível superior. Por exemplo, se estiver incorporando um sistema de comentários, o usuário também precisa visitar o site desse sistema.
  • O usuário precisa interagir com a incorporação antes de compartilhar os cookies. Isso significa que pode não ser possível carregar todo o conteúdo incorporado antes da interação do usuário.
  • Talvez o usuário precise aprovar o compartilhamento de cookies em um pop-up do navegador, principalmente na primeira instância e depois periodicamente.
  • O site de incorporação também pode precisar definir atributos de sandbox adicionais.

Com essas restrições, a reativação de cookies de terceiros só é feita quando o usuário e o site esperam isso. No entanto, em alguns cenários, as ações do usuário podem ser ignoradas. Por exemplo, se o usuário tiver aprovado o acesso recentemente, talvez não seja necessário perguntar novamente por um período, conforme definido pelo navegador.

Outro cenário em que isso é provavelmente esperado pelo usuário é referente a sites relacionados. Por exemplo, algumas organizações usam diferentes origens, que são consideradas entre sites pelo navegador, e assim o uso de cookies entre elas é tratado como de terceiros. Por exemplo, marcas com sites específicos para cada país (como example.com e example.co.uk) ou sites específicos para a marca (como example.car e example.house).

Nesse caso, quando há um pequeno número de sites relacionados, você pode usar conjuntos de sites relacionados. Os sites são enviados ao Chrome para que o Chrome saiba que estão relacionados. Isso facilita o acesso à API Storage Access, com menos solicitações do usuário.

Para sites não relacionados que são de terceiros e em que o acesso total a cookies de terceiros é necessário porque as APIs alternativas não são suficientes, o uso da API Storage Access está sujeito a todos os requisitos e solicitações.

Comparação das várias APIs

Cada uma das soluções tem características e limitações ligeiramente diferentes que as tornam uma escolha melhor para determinados casos de uso. A tabela a seguir resume as principais diferenças:

CHIPS (link em inglês) Armazenamento particionado FedCM API Storage Access com conjuntos de sites relacionados API Storage Access
O usuário não precisa ter acessado anteriormente a parte incorporada como um site de nível superior
Não exige a solicitação do usuário para aprovar o acesso
Não exige interação do usuário com a incorporação
Isso também pode ser válido para sites incorporados com acesso de nível superior.
Esforço de implementação Muito baixo Baixa Alto Média Média
Podem ser usados para compartilhar cookies entre vários sites/origens de nível superior
(Proposta sob discussão.)
Disponível em navegadores diferentes do Chromium
Retorna à API Storage Access.
Comportamentos, nível de esforço necessário e disponibilidade das principais APIs para casos de uso incorporados

Compatibilidade com casos de uso em vários navegadores

A compatibilidade do navegador é um dos principais fatores ao decidir sobre uma solução, conforme mencionado na última linha da tabela. Algumas das APIs (CHIPS, FedCM, conjuntos de sites relacionados) estão disponíveis somente em navegadores Chromium. No momento, as duas únicas soluções para navegadores são as APIs de armazenamento particionada (quando os cookies não são necessários) ou a API Storage Access (quando os cookies são necessários).

No entanto, conforme observado anteriormente, a API Storage Access tem uma série de restrições que podem afetar a experiência do usuário no seu site. A equipe do Chrome trabalhou para adicionar as outras APIs, que foram projetadas para atender a casos de uso específicos e proporcionar uma experiência semelhante ao que foi possível com cookies de terceiros. Portanto, recomendamos que você considere quais são as melhores opções e as trate como melhorias progressivas, com um substituto para a API Storage Access para navegadores sem suporte.

Como os cookies podem ser bloqueados por vários motivos (por exemplo, configurações do navegador, extensões), a detecção de recursos do suporte à API pode não ser suficiente. Em vez disso, é melhor testar se os cookies esperados existem e, se não estiverem, recorrer ao fluxo de trabalho da API Storage Access para solicitar acesso a cookies de terceiros.

Tome providências agora!

Se a incorporação de terceiros não funcionar mais sem os cookies de terceiros, existem várias soluções disponíveis que abordam o possível impacto, como detalhado nesta palestra. O momento de auditar seu serviço e se preparar para a desativação dos cookies de terceiros já está.

Para quem está com falhas nas incorporações agora, porque o Chrome está testando a remoção de cookies de terceiros, há várias opções de ajuda de curto prazo ao migrar para as alternativas descritas nesta postagem. Consulte a documentação sobre como preservar experiências do usuário críticas para mais informações.

Se você tiver dúvidas sobre casos de uso de incorporação de terceiros não abordados neste guia, informe um novo problema usando a tag "Descontinuação de cookies de terceiros" no nosso repositório de suporte ao desenvolvedor.