I cookie di terze parti hanno molti usi, ma sono anche un fattore chiave per il monitoraggio tra siti. Chrome ha limitato i cookie di terze parti per l'1% degli utenti a partire dal primo trimestre del 2024 per facilitare i test e prevede di aumentare il ritiro dei cookie di terze parti per il 100% degli utenti dall'inizio del 2025, in risposta a eventuali problemi di concorrenza della Competition and Markets Authority (CMA) del Regno Unito.
In questa pagina troverai informazioni sulle soluzioni incentrate sulla tutela della privacy per gli scenari incorporati che in genere si sono basati su cookie di terze parti, nonché sulle strategie per aiutarti a scegliere la soluzione più adatta alle tue esigenze.
I servizi incorporati o gli incorporamenti includono contenuti di terze parti (ad esempio video e mappe), componenti interattivi (come chat, sistemi di commento o servizi a pagamento), servizi di accesso e altro ancora.
La maggior parte del lavoro per la transizione dai cookie di terze parti deve essere svolta dagli sviluppatori incorporati, anziché dai siti che ospitano incorporamenti. Questa guida riguarda principalmente le soluzioni per gli sviluppatori che creano servizi incorporati.
Se il tuo sito si basa su un incorporamento che utilizza cookie di terze parti, assicurati di controllare e testare i percorsi relativi all'incorporamento e di contattare i fornitori di incorporamento in caso di interruzioni.
Controllare e testare i percorsi degli utenti incorporati
Il modo migliore per capire se i tuoi incorporamenti sono interessati dalla graduale eliminazione dei cookie di terze parti è testare le procedure di incorporamento dei cookie di terze parti attivando il flag di test di eliminazione graduale dei cookie di terze parti.
Dopo aver limitato i cookie di terze parti, verifica questi scenari di incorporamento comuni:
- Widget di chat: è possibile avviare una sessione di chat? Riesci ad aggiornare la pagina senza perdere la sessione? Riesci a passare ad altre pagine e mantenere la sessione?
- Incorporamenti di contenuti:puoi visualizzare i contenuti video o altri contenuti incorporati? Le preferenze dell'utente, ad esempio la lingua o i sottotitoli, vengono mantenute? Vedi gli annunci quando previsto, ad esempio non come abbonato Premium?
- Accesso: gli accessi, compresi quelli con Single Sign-On (SSO), funzionano per gli incorporamenti che li supportano? Sono persistenti tramite ricarica delle pagine e navigazione verso pagine che utilizzano gli stessi incorporamenti?
- Widget di commento:puoi lasciare commenti, mettere Mi piace e dare un voto positivo ai commenti?
- Soluzioni di pagamento incorporate: riesci a completare correttamente i pagamenti?
Nelle sezioni successive, troverai informazioni più specifiche su come questi flussi potrebbero essere interessati.
Casi d'uso comuni
Esistono numerose API che possono essere utilizzate per gli incorporamenti che tradizionalmente si sono basati su cookie di terze parti. Nella tabella seguente sono elencati alcuni flussi di lavoro comuni e le API consigliate da utilizzare come riepilogo generale. Le sezioni seguenti spiegano il motivo di questi consigli.
| Caso d'uso | API consigliata per l'utilizzo dei cookie di terze parti |
|---|---|
| Widget della chat | CHIP |
| Incorporamenti di mappe | CHIP |
| Domini sandbox per contenuti utente non attendibili (ad esempio googleusercontent.com e githubusercontent.com) che richiedono l'ambito dello stato per publisher |
CHIP |
| Annunci incorporati che richiedono un ambito a livello di stato per publisher | CHIP |
| Accedi tramite un provider di identità | FedCM |
| Incorporamento ospitato su origini diverse ma correlate. | API Storage Access con insiemi di siti web correlati |
| Contenuti incorporati con preferenze basate sull'accesso (ad esempio, contenuti video senza annunci o preferenze relative a lingua/sottotitoli) |
API Storage Access |
| Widget per i commenti sui social media che richiede l'accesso | API Storage Access |
Scelta dell'API da utilizzare per i casi d'uso incorporati di terze parti
Questa sezione illustra come scegliere un'API alternativa appropriata e illustra le API consigliate.
Il seguente diagramma di flusso consente di scegliere tra le opzioni disponibili:
Il diagramma di flusso pone tre domande principali. Le esamineremo più in dettaglio e i motivi per cui una determinata API è consigliata in ciascun caso.
1. I cookie sono specifici del sito di incorporamento?
Molti incorporamenti di terze parti vengono utilizzati in modo indipendente su siti completamente non correlati. Ad esempio, i widget di chat per l'assistenza clienti spesso richiedono che i cookie funzionino, ma non hanno bisogno di condividerli tra due organizzazioni completamente diverse che utilizzano la stessa soluzione widget per la chat. Infatti, la preferenza sarebbe neppure consentire la condivisione di cookie in molti di questi casi.
Se fornisci ad altri siti un servizio di incorporamento di terze parti che si basa sui cookie, valuta se questi cookie sono specifici per il servizio sul sito su cui è incorporato. Vengono mai condivisi da istanze dell'incorporamento su altri siti?
Se i cookie non devono essere condivisi, il partizionamento dei cookie con CHIPS è l'opzione più semplice. Questa API collega i cookie di terze parti al sito di primo livello, invece di consentirne la condivisione da parte di tutti i siti che utilizzano lo stesso incorporamento di terze parti. I CHIPS sono facili da implementare poiché richiedono solo l'aggiunta di un ulteriore attributo Partitioned ai cookie esistenti. In questo modo i servizi incorporati continueranno a salvare lo stato, ma verrà rimossa l'archiviazione tra siti condivisa che consentirebbe il monitoraggio tra siti.
I siti dovrebbero anche controllare se i cookie vengono utilizzati per i motivi giusti. I cookie devono essere utilizzati solo se vengono impostati o devono essere inviati con richieste HTTP. In caso contrario e se i cookie vengono utilizzati solo come pratica opzione di archiviazione, dovrebbero essere prese in considerazione le varie API di archiviazione. In questo modo i dati sono locali quando non devono essere inviati. Le API di archiviazione sono già partizionate in tutti i principali browser, in modo simile a come CHIPS partiziona i cookie.
2. I cookie sono per un provider di identità di terze parti?
Un uso comune dei cookie di terze parti negli incorporamenti è fornire funzionalità di accesso gestite da un provider di accesso di terze parti, ad esempio Accedi con Google. In questo caso i cookie partizionati non sono un'opzione.
Federated Credential Management (FedCM) è un'API dedicata appositamente per questo caso d'uso e funziona senza cookie di terze parti. Se FedCM è supportato dal provider di identità, potrebbe essere necessario eliminare i cookie di terze parti.
Per saperne di più su come risolvere gli effetti dell'eliminazione graduale dei cookie di terze parti sui flussi di lavoro di accesso, consulta la guida all'identità.
3. I cookie vengono utilizzati su un numero limitato di siti correlati?
Se nessuna delle opzioni precedenti è una soluzione adatta per i cookie, devi valutare la possibilità di riattivare l'accesso ai cookie di terze parti per l'incorporamento. Questa funzionalità può essere abilitata in casi d'uso specifici e controllati con l'API Storage Access. Questa API consente di riattivare l'accesso completo ai cookie di terze parti (soggetto a controlli), pertanto è l'opzione più efficace. Per questo si consiglia di evitarlo se è sufficiente un'alternativa più restrittiva.
Esistono alcuni requisiti per utilizzare l'API Storage Access:
- L'utente deve aver visitato in precedenza il sito dell'incorporamento a un livello superiore. Ad esempio, se incorpora un sistema per i commenti, l'utente deve anche visitare il sito di quel sistema.
- L'utente deve interagire con l'incorporamento prima che i cookie possano essere condivisi. Ciò significa che potrebbe non essere possibile caricare tutti i contenuti incorporati prima dell'interazione dell'utente.
- L'utente potrebbe dover approvare la condivisione dei cookie con un popup del browser, in particolare la prima volta e periodicamente dopo.
- Il sito di incorporamento potrebbe anche dover impostare attributi della sandbox aggiuntivi.
Queste limitazioni assicurano che la potente azione della riattivazione dei cookie di terze parti venga compiuta solo quando l'utente e il sito se lo prevedono. Tuttavia, in alcuni scenari, le azioni dell'utente possono essere ignorate. Ad esempio, se l'utente ha approvato di recente l'accesso, potrebbe non essere necessario richiederlo di nuovo per un determinato periodo di tempo (come definito dal browser).
Un altro scenario in cui è probabile che l'utente si aspetti questo comportamento è relativo ai siti correlati. Ad esempio, alcune organizzazioni utilizzano origini diverse, considerate cross-site dal browser, e l'uso dei cookie tra di essi viene considerato come una terza parte. Alcuni esempi sono i brand con siti specifici per paese (come example.com ed example.co.uk) o siti web specifici per brand (come example.car ed example.house).
In questo caso, se esiste un numero limitato di siti web correlati, puoi utilizzare insiemi di siti web correlati. I siti vengono inviati a Chrome per indicare a Chrome che sono correlati. Ciò consente di accedere all'API Storage Access in un modo più intuitivo, con meno richieste da parte dell'utente.
Per i siti web non correlati che sono in realtà di terze parti e per i quali è richiesto l'accesso completo ai cookie di terze parti perché le API alternative non sono sufficienti, l'utilizzo dell'API Storage Access sarà soggetto a requisiti e richieste completi.
Confronto tra le varie API
Ognuna delle soluzioni presenta caratteristiche e limitazioni leggermente diverse che le rendono una scelta migliore per determinati casi d'uso. La seguente tabella riassume le principali differenze:
| CHIP | Archiviazione partizionata | FedCM | API Storage Access con insiemi di siti web correlati | API Storage Access | |
|---|---|---|---|---|---|
| Non è necessario che l'utente abbia eseguito in precedenza l'accesso alla parte incorporata come sito di primo livello | |||||
| Non richiede all'utente di approvare l'accesso | |||||
| Non richiede all'utente di interagire con l'incorporamento | (può essere vero anche per i siti incorporati con accesso di primo livello). |
||||
| Impegno di implementazione | Molto basso | Bassa | Alta | Media | Media |
| Può essere utilizzato per condividere i cookie tra più siti/origini di primo livello | (Proposta in fase di disucussione.) |
||||
| Disponibile sui browser non Chromium | (viene mostrata nuovamente l'API Storage Access). |
Supporto dei casi d'uso su più browser
La compatibilità del browser è uno dei fattori principali al momento di scegliere una soluzione, come spiegato nell'ultima riga della tabella. Alcune API (CHIPS, FedCM, insiemi di siti web correlati) sono disponibili solo sui browser Chromium. Attualmente, le uniche due soluzioni cross-browser sono le API di archiviazione partizionate (quando i cookie non sono richiesti) o l'API Storage Access (quando sono richiesti i cookie).
Tuttavia, come indicato in precedenza, l'API Storage Access prevede una serie di restrizioni che possono influire sull'esperienza utente sul tuo sito web. Il team di Chrome ha lavorato all'aggiunta delle altre API, progettate per soddisfare casi d'uso specifici e offrire un'esperienza simile a quella che è stato possibile ottenere con i cookie di terze parti. Di conseguenza, consigliamo di considerare le opzioni migliori e di trattarle come miglioramenti progressivi, con un fallback all'API Storage Access per i browser non supportati.
Poiché i cookie possono essere bloccati per diversi motivi (ad esempio, impostazioni del browser, estensioni), il rilevamento delle funzionalità del supporto dell'API potrebbe non essere sufficiente. È preferibile verificare se esistono i cookie previsti e, in caso contrario, ricorrere al flusso di lavoro dell'API Storage Access per richiedere l'accesso ai cookie di terze parti.
Intervieni ora.
Se l'incorporamento di terze parti non funziona più senza l'uso di cookie di terze parti, sono disponibili diverse soluzioni che rispondono al possibile impatto, come descritto in questa presentazione. Il momento di controllare il tuo servizio e prepararti alla graduale eliminazione dei cookie di terze parti è ora.
Per coloro che riscontrano interruzioni con i loro incorporamenti ora, poiché Chrome sta testando la rimozione dei cookie di terze parti, sono disponibili una serie di opzioni a breve termine per ricevere assistenza durante la migrazione alle alternative descritte in questo post. Per saperne di più, consulta la documentazione relativa alla preservazione delle esperienze utente critiche.
Se hai domande sui casi d'uso degli incorporamenti di terze parti non trattati in questa guida, puoi segnalare un nuovo problema utilizzando il tag "ritiro dei cookie di terze parti" nel nostro repository dell'assistenza per gli sviluppatori.