Przygotowanie do wycofania plików cookie innych firm

Jeśli Twoja witryna korzysta z plików cookie innych firm, w miarę zbliżania się ich wycofania możesz podjąć odpowiednie działania. Aby ułatwić testowanie, od 4 stycznia 2024 r. Chrome ograniczy pliki cookie innych firm u 1% użytkowników. Od III kwartału 2024 r. Chrome zamierza wprowadzić ograniczenia dotyczące plików cookie innych firm dla 100% użytkowników zgodnie z pozostałymi wątpliwościami urzędu ds. konkurencji i rynków w Wielkiej Brytanii.

Celem Piaskownicy prywatności jest ograniczenie śledzenia w witrynach, a jednocześnie udostępnienie funkcji, dzięki którym treści i usługi online są bezpłatnie dostępne dla wszystkich. Wycofanie i usunięcie plików cookie innych firm obejmuje to wyzwanie, ponieważ zapewniają one kluczowe funkcje logowania, ochrony przed oszustwami i reklamowaniem się, a ogólnie umożliwiają umieszczanie w swoich witrynach bogatych treści innych firm. Jednocześnie są one kluczowym elementem śledzenia w witrynach.

W ramach naszego poprzedniego kluczowego kamienia milowego wprowadziliśmy szereg interfejsów API, które zapewniają ochronę prywatności i stanowią alternatywę dla obecnego statusu quo w przypadkach użycia takich jak tożsamość, reklamy i wykrywanie oszustw. Po wprowadzeniu alternatywnych rozwiązań możemy teraz zacząć wycofywać pliki cookie innych firm.

W tej serii z odliczaniem plików cookie przedstawimy harmonogram i natychmiastowe działania, aby przygotować swoje witryny.

1% wycofanie plików cookie innych firm i testy przeprowadzone przy użyciu Chrome

Na osi czasu privacysandbox.com zobaczysz 2 etapy w ramach trybów testów obsługiwanych przez Chrome w IV kwartale 2023 r. i I kwartale 2024 r. Te testy są przeznaczone głównie dla organizacji testujących interfejsy API do pomiaru trafności i mierników Piaskownicy prywatności, jednak w ramach tych testów wyłączymy pliki cookie innych firm w przypadku 1% użytkowników wersji stabilnej w Chrome.

Harmonogram wycofywania plików cookie innych firm. W ramach testów przeprowadzanych w Chrome testy opcjonalne z trybem etykiet rozpoczęły się w IV kwartale 2023 r., a 4 stycznia 2024 r. zaczęliśmy wprowadzać tryb wycofywania 1% komputerów przez firmy zewnętrzne. Obydwie będą się wyświetlać w połowie III kwartału 2024 r., kiedy to rozpocznie się wycofywanie plików cookie innych firm.

Oznacza to, że od początku 2024 r. możesz spodziewać się wzrostu liczby użytkowników Chrome w swojej witrynie z wyłączonymi plikami cookie innych firm, nawet jeśli nie uczestniczysz aktywnie w testach przeprowadzanych przez Chrome. Okres testowania trwa aż do III kwartału 2024 r., gdy po konsultacjach z CMA i usunięciu wszelkich problemów z konkurencją planujemy zacząć wyłączać pliki cookie innych firm dla wszystkich użytkowników Chrome.

Aby mieć pewność, że Twoja witryna będzie działać bez plików cookie innych firm, podzieliliśmy ten proces na następujące kluczowe kroki:

  1. Sprawdź użycie plików cookie innych firm.
  2. Przeprowadź test pod kątem uszkodzenia.
  3. W przypadku plików cookie pochodzących z różnych stron, które przechowują dane na podstawie poszczególnych witryn (np. umieszczone na stronie), rozważ wdrożenie Partitioned z CHIPS.
  4. W przypadku plików cookie pochodzących z różnych stron w małej grupie dobrze powiązanych witryn wybierz Zestawy powiązanych witryn.
  5. W innych przypadkach użycia plików cookie innych firm przejdź na odpowiednie internetowe interfejsy API.

1. Kontrola wykorzystania plików cookie innych firm

Pliki cookie innych firm można rozpoznać po wartości SameSite=None. W kodzie należy przeszukać kod pod kątem wystąpień, w których atrybut SameSite został ustawiony na tę wartość. Jeśli w okolicach 2020 roku wprowadzałeś(-aś) zmiany w dodawaniu pliku SameSite=None do plików cookie, może to być dobry punkt wyjścia.

Narzędzia deweloperskie w Chrome

Panel Network (Sieć) w Chrome DevTools pokazuje pliki cookie ustawione i wysyłane w odpowiedzi na żądania. W panelu aplikacji w sekcji Pamięć jest widoczny nagłówek Pliki cookie. Możesz przeglądać pliki cookie zapisane dla każdej witryny otwieranej podczas wczytywania strony. Aby zgrupować wszystkie pliki cookie typu None, możesz posortować dane według kolumny SameSite.

Karta problemów z Narzędziami deweloperskimi z ostrzeżeniem dotyczącym plików cookie SameSite=None.

Od wersji Chrome 118 karta Problemy z Narzędziami deweloperskimi pokazuje problem związany ze zmianą powodującą niezgodność: „Pliki cookie wysyłane w kontekście innych witryn będą blokowane w przyszłych wersjach Chrome”. W przypadku bieżącej strony problem zawiera listę plików cookie, których może dotyczyć problem.

Narzędzie do analizy Piaskownicy prywatności (PSAT)

Opracowaliśmy też narzędzie analizy Piaskownicy prywatności (PSAT), rozszerzenie narzędzi dla deweloperów, które ułatwia analizę użycia plików cookie podczas sesji przeglądania. Zapewnia to ścieżki debugowania dotyczące plików cookie i funkcji Piaskownicy prywatności oraz punkty dostępu do informacji o inicjatywie Piaskownicy prywatności.

Karta problemów z Narzędziami deweloperskimi z ostrzeżeniem dotyczącym plików cookie SameSite=None.

Uzupełnia ono Narzędzia deweloperskie o wyspecjalizowane funkcje analizy i debugowania scenariuszy związanych z wycofaniem plików cookie innych firm i wdrożeniem nowych alternatywnych rozwiązań chroniących prywatność.

Możesz pobrać rozszerzenie z Chrome Web Store lub przejść do repozytorium i witryny wiki PSAT.

Sprawdzanie innych firm za pomocą plików cookie

Jeśli zauważysz, że pliki cookie innych firm są umieszczane przez inne firmy, skontaktuj się z ich dostawcami, aby dowiedzieć się, czy mają plany wycofania takich plików. Może być na przykład konieczne uaktualnienie używanej wersji biblioteki, zmianę opcji konfiguracji usługi lub niewykonanie żadnych działań, jeśli aplikacja zewnętrzna obsługuje niezbędne zmiany.

2. Testowanie pod kątem uszkodzenia

Chrome możesz uruchomić za pomocą flagi wiersza poleceń --test-third-party-cookie-phaseout lub w Chrome 118 – włącz chrome://flags/#test-third-party-cookie-phaseout. Dzięki temu przeglądarka Chrome będzie blokowała pliki cookie innych firm i zapewni włączenie nowych funkcji oraz środków zaradczych, co pozwoli jak najlepiej symulować stan po wycofaniu.

Możesz też spróbować zablokować pliki cookie innych firm na stronie chrome://settings/cookies, ale pamiętaj, że flaga gwarantuje, że nowe i zaktualizowane funkcje też są włączone. Blokowanie plików cookie innych firm to dobry sposób na wykrywanie problemów, ale niekoniecznie sprawdzaj, czy zostały one rozwiązane.

Jeśli masz aktywny pakiet testowy swoich witryn, wykonaj 2 testy równolegle: jedno z Chrome z wykorzystaniem standardowych ustawień i drugie z tą samą wersją Chrome uruchomioną z flagą --test-third-party-cookie-phaseout. Wszelkie błędy testów podczas drugiego uruchomienia, a nie w pierwszym, są dobrymi kandydatami do zbadania pod kątem zależności plików cookie innych firm. Pamiętaj, by zgłosić problemy.

Po zidentyfikowaniu plików cookie, w których występują problemy, i zrozumieniu ich zastosowań możesz skorzystać z podanych niżej opcji, aby wybrać odpowiednie rozwiązanie.

3. Używaj plików cookie Partitioned z CHIPS

Jeśli Twój zewnętrzny plik cookie jest używany w kontekście 1:1 umieszczonym w witrynie najwyższego poziomu, rozważ użycie atrybutu Partitioned w ramach plików cookie o niezależnym stanie partycji (CHIPS), aby umożliwić dostęp z innych witryn za pomocą osobnego pliku cookie dla każdej witryny.

Atrybut partycjonowany umożliwia ustawienie osobnego pliku cookie fav_store dla każdej witryny najwyższego poziomu.

Aby zaimplementować CHIPS, dodaj atrybut Partitioned do nagłówka Set-Cookie:

Dzięki ustawieniu Partitioned witryna zezwala na przechowywanie pliku cookie w osobnym słoiku plików cookie podzielonym według witryny najwyższego poziomu. W powyższym przykładzie plik cookie pochodzi z domeny store-finder.site hostującej mapę sklepów, która umożliwia użytkownikowi zapisanie ulubionego sklepu. Dzięki użyciu CHIPS, gdy brand-a.site umieści element store-finder.site, wartość pliku cookie fav_store wynosi 123. Następnie, gdy brand-b.site umieszcza też element store-finder.site, skonfiguruje i wyśle własne, partycjonowane wystąpienie pliku cookie fav_store, np. z wartością 456.

Oznacza to, że umieszczone usługi nadal mogą zapisywać stan, ale nie mają współdzielonej pamięci w różnych witrynach, która umożliwiałaby śledzenie w witrynach.

Potencjalne przypadki użycia: osadzone czaty zewnętrzne, osadzone mapy innych firm, osadzone płatności zewnętrzne, równoważenie obciążenia CDN, dostawcy systemu zarządzania treścią bez interfejsu graficznego, domeny piaskownicy do wyświetlania niezaufanych treści użytkowników, zewnętrzne sieci CDN używające plików cookie do kontroli dostępu, zewnętrzne wywołania interfejsu API wymagające plików cookie w żądaniach, osadzone reklamy o zakresie ograniczonym do informacji o wydawcy.

Więcej informacji o CHIPS

4. Używaj interfejsu Storage Access API i zestawów powiązanych witryn

Jeśli pliki cookie innych firm są używane tylko w niewielkiej liczbie powiązanych witryn, możesz użyć zestawów powiązanych witryn, aby umożliwić dostęp do pliku cookie z innych witryn w kontekście zdefiniowanych witryn.

Aby wdrożyć RWS, musisz zdefiniować i przesłać grupę witryn do zestawu. Aby upewnić się, że witryny są faktycznie powiązane, zasady dotyczące prawidłowego zbioru wymagają grupowania tych witryn według powiązanych witryn, które są ze sobą widoczne (np. warianty oferty produktów firmy), domen usług (np. interfejsów API, sieci CDN) lub domen krajowych (np. *.uk, *.jp).

Zestawy powiązanych witryn umożliwiają dostęp do plików cookie w kontekście zadeklarowanych witryn, ale nie w innych witrynach innych firm.

Witryny mogą używać interfejsu Storage Access API, aby prosić o dostęp do plików cookie z innych witryn za pomocą metody requestStorageAccess() lub przekazywać dostęp za pomocą requestStorageAccessFor(). Gdy witryny należą do tego samego zestawu, przeglądarka automatycznie przyznaje dostęp, a pliki cookie z innych witryn są dostępne.

Oznacza to, że grupy powiązanych witryn mogą w ograniczonym kontekście korzystać z plików cookie pochodzących z różnych witryn, ale nie ryzykują udostępniania plików cookie innych firm w niepowiązanych witrynach w sposób umożliwiający śledzenie w tych witrynach.

Potencjalne przypadki użycia: domeny specyficzne dla aplikacji, domeny związane z marką, domeny krajowe, domeny piaskownicy do wyświetlania niezaufanych treści użytkowników, domeny usług dla interfejsów API, sieci CDN.

Więcej informacji o RWS

5. Przeprowadź migrację do odpowiednich internetowych interfejsów API

CHIPS i RWS umożliwiają dostęp do określonych typów plików cookie z innych witryn przy jednoczesnym zachowaniu prywatności użytkowników. W innych przypadkach plików cookie innych firm trzeba jednak przejść na alternatywne rozwiązania zapewniające ochronę prywatności.

Piaskownica prywatności udostępnia szereg specjalnych interfejsów API do określonych zastosowań bez konieczności stosowania plików cookie innych firm.

  • Federated Credential Management (FedCM) włącza usługi sfederowanej tożsamości, umożliwiając użytkownikom logowanie się w witrynach i usługach.
  • Tokeny prywatności umożliwiają ochronę przed oszustwami i spamem przez wymianę ograniczonych, nieidentyfikujących informacji między witrynami.
  • Topics umożliwia wyświetlanie reklam opartych na zainteresowaniach i personalizację treści.
  • Funkcja Protected Audience umożliwia remarketing i niestandardowych odbiorców.
  • Raportowanie atrybucji umożliwia pomiar wyświetleń reklam i konwersji.

Dodatkowo Chrome obsługuje interfejs Storage Access API (SAA), który umożliwia wykorzystywanie ich w elementach iframe w przypadku interakcji użytkownika. SAA jest już obsługiwane w Edge, Firefoksie i Safari. Uważamy, że zachowuje ona odpowiednią równowagę, aby zachować prywatność użytkowników, a jednocześnie umożliwiać obsługę niezbędnych funkcji w różnych witrynach oraz zgodności z różnymi przeglądarkami.

Pamiętaj, że interfejs Storage Access API wyświetla użytkownikom prośbę o przyznanie uprawnień przeglądarki. Aby zapewnić optymalną wygodę użytkownikom, będziemy pytać ich tylko wtedy, gdy witryna wywołująca requestStorageAccess() wchodziła w interakcję z umieszczoną stroną i wcześniej odwiedziła witrynę innej firmy w kontekście najwyższego poziomu. Pomyślne przyznanie dostępu umożliwi witrynie dostęp do plików cookie pochodzących z innych witryn przez 30 dni. Potencjalne przypadki użycia to uwierzytelnione elementy umieszczone na innych stronach, takie jak widżety komentarzy w sieciach społecznościowych, dostawcy usług płatniczych, subskrybowane usługi wideo.

Jeśli nadal masz przypadki użycia plików cookie innych firm, które nie zostały uwzględnione w tych opcjach, zgłoś nam ten problem i zastanów się, czy istnieją alternatywne implementacje, które nie zależą od funkcji umożliwiających włączenie śledzenia w witrynach.

Pomoc dla przedsiębiorstw

Przeglądarka Chrome zarządzana przez firmę zawsze ma unikalne wymagania w porównaniu z ogólnym użytkowaniem internetu, dlatego zadbamy o to, aby administratorzy firm mieli odpowiednią kontrolę nad wycofaniem w swoich przeglądarkach plików cookie innych firm.

Podobnie jak w przypadku większości eksperymentów w Chrome większość użytkowników firmowych zostanie automatycznie wykluczona z wycofania 1% plików cookie innych firm. W przypadku nielicznych, których może dotyczyć ten problem, administratorzy firm mogą ustawić zasadę BlockOtherPartyPliki cookie na false, aby wyłączyć zarządzane przeglądarki z wyprzedzeniem przed eksperymentem i dać czas na wprowadzenie niezbędnych zmian, które pozwolą nie polegać na tych zasadach ani plikach cookie innych firm. Więcej informacji znajdziesz w informacjach o wersji Chrome Enterprise.

Zamierzamy też udostępnić dodatkowe raporty i narzędzia, które pomogą zidentyfikować użycie plików cookie innych firm w witrynach dla przedsiębiorstw. Mamy mniejszą widoczność przeglądarek firmowych w danych o korzystaniu z Chrome, co oznacza, że firmy muszą testować pod kątem awarii i zgłaszać nam problemy.

Integracje z programem Enterprise SaaS będą mogły skorzystać z opisanego poniżej okresu próbnego wycofywania rozwiązań innych firm.

Poproś o wydłużenie terminu w ramach okresu próbnego wycofywania aplikacji innych firm w przypadkach niezwiązanych z reklamami

Podobnie jak w przypadku wielu wycofywanych funkcji w internecie, zdajemy sobie sprawę, że istnieją sytuacje, w których witryny potrzebują więcej czasu na wprowadzenie niezbędnych zmian. Gdy chodzi o takie zmiany związane z prywatnością, musimy również wziąć pod uwagę dobro użytkowników internetu.

Planujemy udostępnić okres próbny wycofania, aby umożliwić witrynom i usługom wykorzystywanym w różnych witrynach rejestrację stałego dostępu do plików cookie innych firm przez ograniczony czas.

W miarę postępów w planach podamy więcej szczegółów, ale zaczynamy od kilku najważniejszych zasad:

  • Będzie to okres próbny wycofywania innych firm, w którym umieszczone przez nas witryny będą mogły tymczasowo korzystać z plików cookie innych firm.
  • Rejestracja będzie wymagała weryfikacji, aby mieć pewność, że okres próbny wycofywania będzie używany tylko w przypadku funkcji, które mają znaczny wpływ na kluczowe ścieżki użytkowników. Rejestracje będą rozpatrywane indywidualnie.
  • Nie wpłynie to na testy reklam zaplanowane na początek 2024 roku, zgodnie z opisem ustawy CMA. Oznacza to, że przypadki użycia reklam nie będą brane pod uwagę podczas okresu próbnego wycofywania.

Następny krok: w tym miesiącu opublikujemy intencję na liście adresowej blink-dev i będziemy na bieżąco aktualizować dokumentację.

Zadbanie o najważniejsze wrażenia użytkowników

Pliki cookie pochodzące z różnych stron są kluczową częścią internetu od ponad ćwierć wieku. Powoduje to każdą zmianę, a zwłaszcza zmianę powodującą niezgodność, czyli złożony proces wymagający skoordynowanego i stopniowego podejścia. Dodatkowe atrybuty plików cookie i nowe interfejsy API zapewniające ochronę prywatności sprawdzają się w większości przypadków, ale są też pewne sytuacje, w których chcemy mieć pewność, że nie pogarszają wygody użytkowników tych witryn.

Najczęściej są to procesy uwierzytelniania lub płatności, w których witryna najwyższego poziomu otwiera wyskakujące okienko lub przekierowuje użytkownika do innej witryny, aby wykonać operację, a następnie wraca do witryny najwyższego poziomu, wykorzystując plik cookie podczas tej ścieżki powrotnej lub w kontekście osadzonym. Zamierzamy udostępnić tymczasowy zestaw algorytmów heurystycznych do wykrywania takich scenariuszy i zezwalać na używanie plików cookie innych firm przez ograniczony czas, dając witrynom większe okno na wprowadzenie niezbędnych zmian.

Następny krok: w tym miesiącu opublikujemy intencję do listy adresowej blink-dev z dalszymi informacjami i będziemy na bieżąco aktualizować dokumentację.

Zgłaszanie problemów z plikami cookie innych firm i uzyskiwanie pomocy

Chcemy mieć pewność, że rejestrujemy różne sytuacje, w których witryny nie działają bez plików cookie innych firm, aby mieć pewność, że zapewniamy wskazówki, narzędzia i funkcje, które pozwolą im uwolnić witryny od uzależnienia się od plików cookie innych firm. Jeśli Twoja witryna lub zależna usługa nie działa po wyłączeniu plików cookie innych firm, możesz przesłać zgłoszenie do naszego narzędzia do śledzenia awarii na stronie goo.gle/report-3pc-broken.

Jeśli masz pytania na temat procesu wycofywania i planu Chrome, możesz zgłosić nowy problem za pomocą tagu „wycofanie plików cookie innych firm” w naszym repozytorium pomocy dla deweloperów.