I cookie di terze parti hanno utilizzi validi, ma consentono anche il monitoraggio tra siti. Chrome prevede di limitare i cookie di terze parti per l'1% degli utenti dal primo trimestre del 2024 per facilitare i test e quindi di ritirarli per il 100% degli utenti dall'inizio del 2025, facendo fronte a eventuali problemi di concorrenza della Competition and Markets Authority (CMA) del Regno Unito. Se il tuo sito web ha un flusso di accesso che si basa su cookie di terze parti, è possibile che sia interessato da questa modifica. Devi assicurarti che il tuo sito sia pronto.
In questa pagina troverai informazioni sugli scenari di accesso che potrebbero essere interessati, nonché riferimenti a possibili soluzioni.
Se il tuo sito web gestisce solo i flussi all'interno dello stesso dominio e dello stesso sottodominio, ad esempio publisher.example e login.publisher.example, non utilizzerà cookie cross-site e non dovrebbe essere interessato dal flusso di accesso.
Tuttavia, se il tuo sito utilizza un dominio diverso per l'accesso, ad esempio con Accedi con Google o Accesso a Facebook, o se il tuo sito deve condividere l'autenticazione dell'utente su più domini o sottodomini, è possibile che tu debba apportare modifiche al sito per garantire una transizione senza problemi dai cookie in più siti.
Testare i percorsi degli utenti correlati all'identità
Il modo migliore per verificare se il tuo flusso di accesso è interessato dalla fase di eliminazione graduale dei cookie di terze parti è eseguire i flussi di registrazione, recupero della password, accesso e disconnessione con il flag di test graduale dei cookie di terze parti abilitato.
Di seguito è riportato un elenco di controllo degli aspetti da controllare dopo aver limitato i cookie di terze parti:
- Registrazione utente: la creazione di un nuovo account funziona come previsto. Se utilizzi provider di identità di terze parti, verifica che la registrazione di nuovi account funzioni per ogni integrazione.
- Recupero della password. Il recupero della password funziona come previsto, dall'interfaccia utente web ai CAPTCHA, alla ricezione dell'email di recupero della password.
- Accesso: il flusso di lavoro per l'accesso funziona all'interno dello stesso dominio e durante la navigazione verso altri domini. Ricordati di testare ogni integrazione di accesso.
- Disconnessione: la procedura di disconnessione funziona come previsto e l'utente rimane disconnesso dopo il flusso di uscita.
Devi inoltre verificare che altre funzionalità dei siti che richiedono l'accesso dell'utente rimangano funzionanti senza cookie cross-site, soprattutto se prevedono il caricamento di risorse cross-site. Ad esempio, se utilizzi una rete CDN per caricare le immagini del profilo utente, assicurati che funzioni ancora. Se devi seguire percorsi dell'utente critici, come il pagamento, limitati al momento dell'accesso, assicurati che continuino a funzionare.
Nelle sezioni successive, troverai informazioni più specifiche su come questi flussi potrebbero essere interessati.
Identità federata
I pulsanti di accesso come Accedi con Google, Accesso a Facebook e Accedi con Twitter sono un indicatore definitivo che il tuo sito web utilizzi un provider di identità federato. Poiché ogni provider di identità federato avrà una propria implementazione, la soluzione migliore è controllare la documentazione del provider o contattarlo per ulteriori indicazioni.
Se stai utilizzando la deprecata libreria della piattaforma JavaScript Accedi con Google, puoi trovare informazioni su come eseguire la migrazione alla nuova libreria dei Servizi di identità Google per l'autenticazione e l'autorizzazione.
La maggior parte dei siti che utilizzano la nuova libreria dei servizi di identità Google è pronta per il ritiro dei cookie di terze parti, in quanto la libreria verrà migrata automaticamente a FedCM per garantire la compatibilità. Ti consigliamo di testare il tuo sito con il flag di test graduale dei cookie di terze parti abilitato e, se necessario, di utilizzare l'elenco di controllo per la migrazione di FedCM per prepararti.
Dominio di accesso separato
Alcuni siti web utilizzano un dominio diverso solo per l'autenticazione degli utenti non idonei per i cookie dello stesso sito, ad esempio un sito web che utilizza example.com per il sito principale e login.example per il flusso di accesso, il che potrebbe richiedere l'accesso ai cookie di terze parti per garantire che l'utente sia autenticato su entrambi i domini.
I possibili percorsi di migrazione per questo scenario sono:
- Aggiornamento per l'utilizzo di cookie proprietari ("stesso sito"): modifica l'infrastruttura del sito web in modo che il flusso di accesso sia ospitato sullo stesso dominio (o sottodominio) del sito principale, che utilizzerà solo cookie proprietari. Questa operazione potrebbe richiedere uno sforzo maggiore, a seconda della configurazione dell'infrastruttura.
- Utilizza insiemi di siti web correlati (RWS): gli insiemi di siti web correlati consentono un accesso limitato ai cookie tra siti tra un piccolo gruppo di domini correlati. RWS è un'API Privacy Sandbox creata per supportare questo caso d'uso. Tuttavia, RWS supporta l'accesso ai cookie tra siti solo su un numero limitato di domini.
- Se autentichi gli utenti su più di cinque domini associati, esplora FedCM: Federated Credentials Management (FedCM) consente ai provider di identità di utilizzare Chrome per gestire i flussi relativi all'identità senza richiedere cookie di terze parti. Nel tuo caso, il "dominio di accesso" potrebbe fungere da provider di identità FedCM ed essere utilizzato per autenticare gli utenti negli altri tuoi domini.
Più domini
Quando un'attività ha più prodotti ospitati su domini o sottodomini diversi, potrebbe essere opportuno condividere la sessione utente tra questi prodotti, uno scenario che può richiedere l'accesso a cookie di terze parti tra più domini.
In questo scenario, ospitare tutti i prodotti nello stesso dominio è spesso imprecisa. Le possibili soluzioni in questo caso sono:
- Utilizza Insiemi di siti web correlati: quando è necessario l'accesso ai cookie tra siti tra un piccolo gruppo di domini correlati.
- Utilizza Federation Credential Management (FedCM): se il numero di domini è elevato, puoi utilizzare un dominio di accesso separato per fungere da provider di identità e autenticare gli utenti sui tuoi siti tramite FedCM.
Soluzioni per l'accesso
Single Sign-On (SSO) di terze parti
Data la complessità dell'implementazione di una soluzione SSO, molte aziende scelgono di utilizzare un provider di soluzioni di terze parti per condividere lo stato dell'accesso tra più origini. Esempi di provider sono Okta, Ping Identity, Google Cloud IAM o Microsoft Entra ID.
Quando utilizzi un provider di terze parti, l'approccio migliore è chiedere al fornitore di capire in che modo la graduale eliminazione dei cookie di terze parti influirà sulla soluzione e sull'approccio consigliato per il suo servizio.
Soluzioni SSO open source
Molte aziende che gestiscono le proprie soluzioni SSO utilizzano standard di settore consolidati, come OpenID Connect, OAuth o SAML, o progetti open source consolidati, come Keycloak, WSO2, Auth.js o Hydra.
Ti consigliamo di consultare la documentazione del tuo provider per capire in che modo la graduale eliminazione dei cookie potrebbe influire sulla sua soluzione e qual è il percorso di migrazione migliore per quella specifica soluzione.
Soluzioni interne personalizzate
Se la tua soluzione di accesso rientra in uno dei casi d'uso precedenti ed è incorporata internamente, Preparati per l'eliminazione graduale dei cookie di terze parti spiega in maggiore dettaglio come verificare il codice e prepararti alla graduale eliminazione dei cookie di terze parti.
Intervieni ora.
Se il tuo sito web rientra in uno di questi casi d'uso, sono disponibili diverse soluzioni per risolvere qualsiasi possibile impatto, dallo spostamento del flusso di autenticazione al dominio principale in modo che utilizzi solo cookie proprietari, l'utilizzo di set di siti web correlati per consentire la condivisione dei cookie tra un numero ridotto di domini o l'utilizzo della Gestione delle credenziali della federazione.
Il momento di controllare il tuo servizio e prepararti alla fase di eliminazione dei cookie di terze parti è ora.