Si tu sitio usa cookies de terceros, es hora de tomar medidas, ya que pronto se darán de baja. Para facilitar las pruebas, Chrome restringió las cookies de terceros para el 1% de los usuarios a partir del 4 de enero de 2024. Chrome planea aumentar las restricciones de las cookies de terceros al 100% de los usuarios a partir del tercer trimestre de 2024, sujeto a abordar las inquietudes restantes sobre la competencia de la Autoridad de Competencia y Mercados del Reino Unido.
Nuestro objetivo con Privacy Sandbox es reducir el seguimiento entre sitios y, al mismo tiempo, seguir permitiendo la funcionalidad que mantiene el contenido y los servicios en línea a disposición de todos. Dar de baja y quitar las cookies de terceros encapsula el desafío, ya que habilitan funciones críticas en el acceso, la protección contra fraudes, la publicidad y, en general, la capacidad de incorporar contenido enriquecido de terceros en tus sitios. Sin embargo, al mismo tiempo son los factores clave del seguimiento entre sitios.
En nuestro hito principal anterior, lanzamos una variedad de APIs que brindan una alternativa centrada en la privacidad al statu quo actual para casos de uso como identidad, publicidad y detección de fraudes. Dado que implementamos alternativas, ahora podemos comenzar a eliminar las cookies de terceros de forma gradual.
En esta serie sobre cuentas regresivas de cookies, le mostraremos el cronograma y las medidas inmediatas que puede tomar para asegurarse de que sus sitios estén preparados.
Baja del 1% de las cookies de terceros y pruebas facilitadas por Chrome
En el cronograma de privacysandbox.com, puedes ver dos eventos importantes en el 4o trim. de 2023 y el 1er trim. de 2024, como parte de los modos de pruebas facilitadas por Chrome. Estas pruebas se realizan principalmente para organizaciones que prueban las APIs de relevancia y medición de Privacy Sandbox. Sin embargo, como parte de este proceso, inhabilitaremos las cookies de terceros para el 1% de los usuarios estables de Chrome.
Esto significa que, desde principios de 2024, es posible que veas una mayor cantidad de usuarios de Chrome en tu sitio con las cookies de terceros inhabilitadas, incluso si no participas de forma activa en las pruebas facilitadas de Chrome. Este período de prueba continúa hasta el tercer trimestre de 2024 cuando, después de consultar con la CMA y sujetos a resolver cualquier inquietud relacionada con la competencia, planeamos comenzar a inhabilitar las cookies de terceros para todos los usuarios de Chrome.
Prepárate para la eliminación gradual de las cookies de terceros
Dividimos el proceso en estos pasos clave, los cuales se detallan a continuación, y se detallan a continuación para asegurarnos de que tu sitio se ejecute sin cookies de terceros:
- Audita tu uso de cookies de terceros.
- Prueba si hay fallas.
- En el caso de las cookies entre sitios que almacenan datos por sitio, como una incorporación, considera usar
Partitionedcon CHIPS. - En el caso de las cookies entre sitios en un pequeño grupo de sitios vinculados de manera significativa, considera usar los conjuntos de sitios web relacionados.
- Para otros casos de uso de cookies de terceros, migra a las APIs web relevantes.
1. Audita tu uso de cookies de terceros
Las cookies de terceros se pueden identificar por su valor SameSite=None. Debes buscar en el código instancias en las que establezcas el atributo SameSite en este valor. Si en 2020 hiciste cambios para agregar SameSite=None a tus cookies, esos cambios pueden ser un buen punto de partida.
Herramientas para desarrolladores de Chrome
El panel de red de las Herramientas para desarrolladores de Chrome muestra las cookies establecidas y enviadas en las solicitudes. En el panel Aplicación, puede ver el encabezado Cookies en Almacenamiento. Puedes explorar las cookies almacenadas para cada sitio al que accedas como parte de la carga de la página. Puedes ordenar según la columna SameSite para agrupar todas las cookies None.
A partir de Chrome 118, la pestaña Problemas de Herramientas para desarrolladores muestra el cambio rotundo: "Las cookies que se envíen en contextos de varios sitios se bloquearán en versiones futuras de Chrome". El problema enumera las cookies potencialmente afectadas en la página actual.
Herramienta de análisis de Privacy Sandbox (PSAT)
También creamos la herramienta de análisis de Privacy Sandbox (PSAT), una extensión de Herramientas para desarrolladores que facilita el análisis del uso de cookies durante las sesiones de navegación. Esto proporciona vías de depuración para cookies y funciones de Privacy Sandbox, con puntos de acceso para obtener más información sobre la iniciativa Privacy Sandbox.
La extensión complementa a Herramientas para desarrolladores con capacidades especializadas para analizar y depurar situaciones relacionadas con la baja de cookies de terceros y la adopción de nuevas alternativas que preservan la privacidad.
Puede descargar la extensión desde Chrome Web Store o acceder al repositorio y la wiki de PSA.
Verifica tus terceros mediante cookies
Si identificas cookies establecidas por terceros, deberías consultar con esos proveedores para ver si tienen planes de eliminar gradualmente las cookies de terceros. Por ejemplo, es posible que debas actualizar la versión de una biblioteca que estés utilizando, cambiar una opción de configuración en el servicio o no realizar ninguna acción si el tercero se encarga de los cambios necesarios.
2. Prueba para detectar si hay fallas
Puedes iniciar Chrome con la marca de línea de comandos --test-third-party-cookie-phaseout o, desde Chrome 118, habilitar chrome://flags/#test-third-party-cookie-phaseout. Esto permitirá que Chrome bloquee las cookies de terceros y garantizará que las nuevas funciones y mitigaciones estén activas para simular mejor el estado después de la eliminación gradual.
También puedes intentar navegar con cookies de terceros bloqueadas a través de chrome://settings/cookies, pero ten en cuenta que la marca garantiza que también se habilite la funcionalidad nueva y actualizada. El bloqueo de las cookies de terceros es un buen enfoque para detectar problemas, pero no necesariamente validar que los hayas corregido.
Si mantienes un paquete de pruebas activo para tus sitios, debes realizar dos ejecuciones en paralelo: una con Chrome en la configuración habitual y otra con la misma versión de Chrome iniciada con la marca --test-third-party-cookie-phaseout. Cualquier prueba fallida en la segunda ejecución y no en la primera es una buena opción para investigar si hay dependencias de cookies de terceros. Asegúrate de informar los problemas que encuentres.
Una vez que haya identificado las cookies con problemas y comprenda los casos de uso que se aplican a ellas, puede trabajar con las siguientes opciones para elegir la solución necesaria.
3. Usa Partitioned cookies con CHIPS
Si tu cookie de terceros se usa en un contexto incorporado 1:1 con el sitio de nivel superior, puedes usar el atributo Partitioned como parte de Cookies con estado particionado independiente (CHIPS) para permitir el acceso entre sitios con una cookie independiente usada por sitio.
Para implementar CHIPS, agrega el atributo Partitioned al encabezado Set-Cookie:
Cuando configuras Partitioned, el sitio habilita el almacenamiento de la cookie en un frasco de cookies separado, particionado por el sitio de nivel superior. En el ejemplo anterior, la cookie proviene de store-finder.site, que aloja un mapa de tiendas que permite a un usuario guardar su tienda favorita. Si usas CHIPS, cuando brand-a.site incorpora store-finder.site, el valor de la cookie fav_store es 123. Luego, cuando brand-b.site también incorpore store-finder.site, configurará y enviará su propia instancia particionada de la cookie fav_store, por ejemplo, con el valor 456.
Esto significa que los servicios incorporados aún pueden guardar estado, pero no tienen almacenamiento compartido entre sitios que permita el seguimiento entre sitios.
Casos de uso potenciales: Incorporaciones de chat de terceros, incorporaciones de mapa de terceros, incorporaciones de pago de terceros, balanceo de cargas de CDN de subrecursos, proveedores de CMS sin interfaz gráfica, dominios de zonas de pruebas para publicar contenido de usuarios que no sea de confianza, CDN de terceros que usan cookies para el control de acceso, llamadas a API de terceros que requieren cookies en las solicitudes y anuncios incorporados con alcance de estado por publicador.
4. Usa la API de Storage Access y los conjuntos de sitios web relacionados
Cuando tu cookie de terceros se usa solo en una pequeña cantidad de sitios relacionados, puedes considerar usar Conjuntos de sitios web relacionados (RWS) para permitir el acceso entre sitios para esa cookie dentro del contexto de esos sitios definidos.
Para implementar RWS, deberás definir y enviar el grupo de sitios para el conjunto. Para garantizar que los sitios estén relacionados de forma significativa, la política para un conjunto válido requiere agrupar esos sitios por sitios asociados que tengan una relación visible entre sí (p.ej., variantes de la oferta de productos de una empresa), dominios de servicio (p.ej. APIs, CDN) o dominios de código de país (p.ej., *.uk y *.jp).
Los sitios pueden usar la API de Storage Access para solicitar acceso de cookies entre sitios con requestStorageAccess() o delegar el acceso con requestStorageAccessFor(). Cuando los sitios están dentro del mismo conjunto, el navegador otorga acceso automáticamente y las cookies entre sitios estarán disponibles.
Esto significa que grupos de sitios relacionados aún pueden usar cookies entre sitios en un contexto limitado, pero no se arriesgan a compartir cookies de terceros entre sitios no relacionados de una manera que permita el seguimiento entre sitios.
Posibles casos de uso: Dominios específicos de la app, dominios específicos de la marca, dominios específicos de un país, dominios de zonas de pruebas para entregar contenido de usuarios que no es de confianza, dominios de servicio para APIs, CDN.
5. Migra a las APIs web relevantes
CHIPS y RWS permiten tipos específicos de acceso a cookies entre sitios sin perder la privacidad del usuario. Sin embargo, los demás casos de uso de cookies de terceros deben migrar a alternativas centradas en la privacidad.
Privacy Sandbox proporciona una variedad de APIs específicas para casos de uso específicos sin necesidad de usar cookies de terceros:
- La Administración de credenciales federadas (FedCM) habilita los servicios de identidad federada para que los usuarios puedan acceder a sitios y servicios.
- Los tokens de estado privado permiten el antifraude y el antispam intercambiando información limitada y no identificativa entre sitios.
- Topics habilita la publicidad basada en intereses y la personalización del contenido.
- Protected Audience habilita el remarketing y los públicos personalizados.
- Attribution Reporting permite medir las impresiones y conversiones de anuncios.
Además, Chrome admite la API de Storage Access (SAA) para su uso en iframes con interacción del usuario. SAA ya es compatible con Edge, Firefox y Safari. Creemos que logra un buen equilibrio para mantener la privacidad del usuario y, a la vez, seguir permitiendo una funcionalidad esencial entre sitios con el beneficio de la compatibilidad entre navegadores.
Ten en cuenta que la API de Storage Access les mostrará un mensaje de permiso del navegador a los usuarios. Para brindar una experiencia del usuario óptima, solo le preguntaremos si el sitio que llama a requestStorageAccess() interactuó con la página incorporada y ya visitó el sitio de terceros en un contexto de nivel superior. Si el otorgamiento es exitoso, las cookies entre sitios podrán acceder a ese sitio durante 30 días. Los posibles casos de uso son incorporaciones autenticadas entre sitios, como widgets de comentarios en redes sociales, proveedores de pagos y servicios de video suscritos.
Si aún tiene casos de uso de cookies de terceros que no se incluyen en estas opciones, debe informarnos el problema y considerar si hay implementaciones alternativas que no dependan de una funcionalidad que pueda habilitar el seguimiento entre sitios.
Asistencia para empresas
Chrome administrado por la empresa siempre tiene requisitos únicos en comparación con el uso general de la Web y nos aseguraremos de que los administradores empresariales tengan controles adecuados sobre la baja de las cookies de terceros en sus navegadores.
Al igual que con la mayoría de los experimentos de Chrome, la mayoría de los usuarios finales empresariales se excluirán de la baja del 1% de las cookies de terceros automáticamente. Para los pocos que pueden verse afectados, los administradores empresariales pueden establecer la política BlockThirdPartyCookies en false para inhabilitar sus navegadores administrados antes del experimento y permitir el tiempo necesario para hacer los cambios necesarios a fin de no depender de esta política ni de las cookies de terceros. Obtén más información en las notas de la versión de Chrome Enterprise.
También tenemos la intención de proporcionar más informes y herramientas para ayudar a identificar el uso de cookies de terceros en sitios empresariales. Tenemos menos visibilidad de los navegadores empresariales en las métricas de uso de Chrome, lo que significa que es muy importante que las empresas realicen pruebas para detectar fallas y nos informan los problemas.
Las integraciones de SaaS empresariales podrán usar la prueba de baja de terceros que se describe a continuación.
Solicita tiempo adicional con la prueba de baja de terceros para casos de uso no publicitarios
Al igual que ocurrió con muchas bajas anteriores en la Web, comprendemos que, en algunos casos, los sitios necesitan tiempo adicional para realizar los cambios necesarios. Cuando se trata de cambios relacionados con la privacidad como estos, también tenemos que equilibrarlos en función de los intereses de las personas que usan la Web.
Planeamos ofrecer una prueba de baja para que los sitios o servicios que se usan en un contexto de varios sitios se registren y tengan acceso continuo a cookies de terceros durante un período limitado.
Compartiremos más detalles a medida que los planes avancen, pero comenzaremos con algunos principios clave:
- Será una prueba de baja de terceros que permitirá que las incorporaciones de terceros se habiliten para seguir usando cookies de terceros de forma temporal.
- El registro requerirá un proceso de revisión para garantizar que la prueba de baja solo se utilice para funciones que afecten en gran medida los recorridos críticos de los usuarios, y los registros se considerarán según cada caso.
- No interferirá con las pruebas publicitarias planificadas para principios de 2024, como se describe en la CMA. Por lo tanto, esto significa que los casos de uso de publicidad no se considerarán para la prueba de baja.
Próximo paso: Publicaremos un Intent en la lista de distribución de blink-dev con más detalles este mes y seguiremos actualizando la documentación aquí.
Preservación de experiencias del usuario fundamentales
Las cookies entre sitios han sido una parte fundamental de la web por más de un cuarto de siglo. Esto hace que cualquier cambio, en especial un cambio rotundo, es un proceso complejo que requiere un enfoque coordinado e incremental. Si bien los atributos adicionales de las cookies y las nuevas APIs centradas en la privacidad representan la mayoría de los casos de uso, hay situaciones específicas en las que queremos garantizar que no rompas la experiencia de las personas que usan esos sitios.
Principalmente, son los flujos de autenticación o de pago en los que un sitio de nivel superior abre una ventana emergente o redirecciona a un sitio de terceros para realizar una operación y, luego, regresa al sitio de nivel superior y utiliza una cookie en ese recorrido de retorno o en el contexto incorporado. Tenemos la intención de proporcionar un conjunto temporal de heurísticas para identificar estas situaciones y permitir las cookies de terceros durante un período limitado, lo que les brinda a los sitios un período más extenso para implementar los cambios necesarios.
Próximo paso: Publicaremos un intent en la lista de distribución de blink-dev con más detalles este mes y seguiremos actualizando la documentación aquí.
Cómo informar problemas relacionados con cookies de terceros y obtener ayuda
Queremos asegurarnos de captar las diversas situaciones en las que los sitios fallan sin cookies de terceros para asegurarnos de brindar orientación, herramientas y funciones que permitan que los sitios migren de sus dependencias de cookies de terceros. Si tu sitio o servicio del que dependes tiene problemas con las cookies de terceros inhabilitadas, puedes enviarlo a nuestra herramienta de seguimiento de fallas en goo.gle/report-3pc-broken.
Si tienes preguntas sobre el proceso de baja y el plan de Chrome, puedes informar un nuevo problema mediante la etiqueta "Baja de cookies de terceros" en nuestro repositorio de asistencia para desarrolladores.