Mengaudit penggunaan cookie

Memahami cookie pihak ketiga

Cookie yang dikirim dalam konteks lintas situs, seperti iframe atau permintaan subresource, secara umum disebut sebagai cookie pihak ketiga.

Kasus penggunaan cookie pihak ketiga mencakup:

  • Konten tersemat yang dibagikan dari situs lain, seperti video, peta, contoh kode, dan postingan media sosial.
  • Widget untuk layanan eksternal, seperti pembayaran, kalender, pemesanan, dan reservasi.
  • Widget seperti tombol sosial atau layanan antipenipuan.
  • Resource <img> atau <script> jarak jauh yang mengandalkan cookie untuk dikirim dengan permintaan (biasa digunakan untuk piksel pelacakan dan mempersonalisasi konten).
Diagram yang menampilkan cookie pihak ketiga.
Contoh cookie pihak ketiga.

Pada tahun 2019, browser mengubah perilaku cookie, membatasi cookie ke akses pihak pertama secara default. Setiap cookie yang digunakan dalam konteks lintas situs saat ini harus ditetapkan dengan atribut SameSite=None.

Set-Cookie: cookie-name=value; SameSite=None; Secure

Mengaudit penggunaan cookie pihak ketiga

Cookie yang ditandai untuk penggunaan pihak ketiga dapat diidentifikasi dari nilai SameSite=None-nya. Anda harus menelusuri kode untuk mencari instance tempat Anda menetapkan atribut SameSite ke nilai ini. Jika sebelumnya Anda membuat perubahan untuk menambahkan SameSite=None ke cookie Anda sekitar tahun 2020, perubahan tersebut dapat memberikan titik awal yang baik.

Jika Anda menemukan cookie yang ditandai sebagai SameSite=None yang tampaknya tidak digunakan dalam konteks lintas situs, periksa apakah hal tersebut disengaja, karena dapat digunakan dalam konteks lintas situs di tempat lain. Jika tidak, SameSite=None mungkin telah ditetapkan secara tidak sengaja dan Anda harus menghapus penggunaan SameSite=None yang tidak diperlukan.

Cookie partisi—yang ditetapkan dengan atribut Partitioned—akan terus dikirim setelah cookie pihak ketiga tidak digunakan lagi di browser yang mendukung atribut ini.

Chrome DevTools

Panel Jaringan Chrome DevTools menampilkan cookie yang ditetapkan dan dikirim pada permintaan. Di panel Application, Anda dapat melihat judul Cookies di bagian Storage. Anda dapat menjelajahi cookie yang disimpan untuk setiap situs yang diakses sebagai bagian dari pemuatan halaman. Anda dapat mengurutkan menurut kolom SameSite untuk mengelompokkan semua cookie None.

Tab Issues DevTools menampilkan peringatan untuk cookie SameSite=None.
Tab Masalah DevTools

Mulai Chrome 118, tab Masalah DevTools menampilkan masalah perubahan yang dapat menyebabkan gangguan, "Cookie yang dikirim dalam konteks lintas situs akan diblokir di versi Chrome mendatang". Masalah ini mencantumkan cookie yang berpotensi terpengaruh untuk halaman saat ini.

Alat Analisis Privacy Sandbox (PSAT)

Kami juga telah membangun Privacy Sandbox Analysis Tool (PSAT), yaitu ekstensi DevTools untuk memfasilitasi analisis penggunaan cookie selama sesi penjelajahan. Hal ini memberikan jalur proses debug untuk fitur cookie dan Privacy Sandbox, dengan titik akses untuk mempelajari inisiatif Privacy Sandbox lebih lanjut.

Screenshot Alat Analisis Privacy Sandbox (PSAT) yang menampilkan jumlah dan jenis cookie yang digunakan dalam modal dan daftar cookie di baliknya beserta alasan pemblokirannya.
Alat Analisis Privacy Sandbox (PSAT)

Ekstensi ini melengkapi DevTools dengan kemampuan khusus untuk menganalisis dan men-debug skenario yang terkait dengan penghentian cookie pihak ketiga dan penerapan alternatif yang menjaga privasi baru.

Anda dapat mendownload ekstensi ini dari Chrome Web Store atau mengakses repositori dan wiki PSAT.

Hubungi penyedia layanan pihak ketiga

Jika Anda mengidentifikasi cookie yang ditetapkan oleh pihak ketiga, Anda harus menghubungi penyedia tersebut untuk mengetahui apakah mereka berencana menghentikan penggunaan cookie pihak ketiga. Misalnya, Anda mungkin perlu mengupgrade versi library yang sedang digunakan, mengubah opsi konfigurasi di layanan, atau tidak melakukan tindakan apa pun jika pihak ketiga menangani sendiri perubahan yang diperlukan.

Tingkatkan kualitas cookie pihak pertama Anda

Jika cookie tidak pernah digunakan di situs pihak ketiga, misalnya jika Anda menetapkan cookie untuk mengelola sesi di situs Anda dan cookie tersebut tidak pernah digunakan di iframe lintas situs, maka Anda harus menandai cookie secara eksplisit sebagai SameSite=Lax atau SameSite=Strict. Ada sejumlah default masuk akal lainnya yang dapat digunakan untuk cookie pihak pertama. Untuk mengetahui detail selengkapnya, lihat Resep untuk kue pihak pertama.