Se il tuo sito utilizza cookie di terze parti, è il momento di intervenire mentre ci avviciniamo al ritiro. Per facilitare i test, a partire dal 4 gennaio 2024 Chrome ha limitato i cookie di terze parti per l'1% degli utenti. Chrome ha in programma di estendere le limitazioni relative ai cookie di terze parti al 100% degli utenti a partire dal terzo trimestre del 2024, fatta salva la risposta a eventuali dubbi rimanenti in termini di concorrenza della Competition and Markets Authority del Regno Unito.
Il nostro obiettivo con Privacy Sandbox è ridurre il monitoraggio tra siti continuando a abilitare la funzionalità che mantiene i contenuti e i servizi online liberamente accessibili a tutti. La deprecazione e la rimozione dei cookie di terze parti racchiude il problema, in quanto consentono funzionalità fondamentali per l'accesso, la protezione antifrode, la pubblicità e, in generale, la possibilità di incorporare contenuti avanzati di terze parti nei tuoi siti, ma allo stesso tempo sono anche i principali fattori di attivazione del monitoraggio tra siti.
Nel nostro precedente traguardo importante, abbiamo lanciato una serie di API che forniscono un'alternativa incentrata sulla privacy allo status quo odierno per casi d'uso come identità, pubblicità e rilevamento di attività fraudolente. Con l'adozione di alternative, ora possiamo procedere con l'eliminazione graduale dei cookie di terze parti.
In questa serie di cookie Countdown, ti guideremo attraverso la sequenza temporale e le azioni immediate che puoi intraprendere per assicurarti che i tuoi siti siano pronti.
1% di ritiro dei cookie di terze parti e test facilitati da Chrome
Nella sequenza temporale di privacysandbox.com puoi vedere due traguardi nel quarto trimestre del 2023 e nel primo trimestre del 2024, nell'ambito delle modalità di test facilitato da Chrome. Questi test sono rivolti principalmente alle organizzazioni che testano le API di pertinenza e misurazione di Privacy Sandbox, ma nell'ambito di questo processo disattiveremo i cookie di terze parti per l'1% degli utenti stabili di Chrome.
Ciò significa che dall'inizio del 2024 dovresti notare un aumento della percentuale di utenti di Chrome sul tuo sito con i cookie di terze parti disattivati, anche se non partecipi attivamente ai test agevolati da Chrome. Il periodo di prova si protrae fino al terzo trimestre del 2024 quando, in seguito alla consulenza con la CMA e fatta salva la risoluzione di eventuali problemi della concorrenza, prevediamo di iniziare a disattivare i cookie di terze parti per tutti gli utenti di Chrome.
Prepararsi al ritiro graduale dei cookie di terze parti
Abbiamo suddiviso la procedura in questi passaggi fondamentali, con i dettagli riportati di seguito, per garantire che tutto sia pronto per l'utilizzo del tuo sito senza cookie di terze parti:
- Controlla l'utilizzo dei cookie di terze parti.
- Esegui un test per rilevare eventuali interruzioni.
- Per i cookie cross-site che memorizzano i dati per singolo sito, come un incorporamento, prendi in considerazione
Partitionedcon CHIPS. - Per i cookie tra più siti in un piccolo gruppo di siti collegati in modo significativo, prendi in considerazione Insiemi di siti web correlati.
- Per altri casi d'uso di cookie di terze parti, esegui la migrazione alle API web pertinenti.
1. Controllare l'utilizzo dei cookie di terze parti
I cookie di terze parti possono essere identificati dal relativo valore SameSite=None. Dovresti cercare il codice per cercare le istanze in cui hai impostato l'attributo SameSite su questo valore. Se in precedenza hai apportato modifiche per aggiungere SameSite=None ai tuoi cookie nel 2020, queste modifiche potrebbero rappresentare un buon punto di partenza.
Chrome DevTools
Il riquadro Rete di Chrome DevTools mostra i cookie impostati e inviati nelle richieste. Nel riquadro Applicazione puoi vedere l'intestazione Cookie sotto Archiviazione. Puoi sfogliare i cookie memorizzati per ogni sito a cui si accede durante il caricamento pagina. Puoi ordinare i dati in base alla colonna SameSite per raggruppare tutti i None cookie.
In Chrome 118, la scheda Problemi di DevTools mostra il problema di modifica che provoca un errore, "I cookie inviati nel contesto tra siti verranno bloccati nelle versioni future di Chrome". Il problema elenca i cookie potenzialmente interessati per la pagina corrente.
Strumento di analisi di Privacy Sandbox (PSAT)
Abbiamo anche creato lo strumento PSAT (Privacy Sandbox Analysis Tool), un'estensione DevTools che facilita l'analisi dell'utilizzo dei cookie durante le sessioni di navigazione. Fornisce percorsi di debug per i cookie e le funzionalità di Privacy Sandbox, con punti di accesso per saperne di più sull'iniziativa Privacy Sandbox.
L'estensione integra DevTools con funzionalità specializzate per l'analisi e il debug degli scenari relativi al ritiro dei cookie di terze parti e all'adozione di nuove alternative incentrate sulla tutela della privacy.
Puoi scaricare l'estensione dal Chrome Web Store o accedere al repository e al wiki PSAT.
Controllare le terze parti che utilizzano i cookie
Se identifichi i cookie impostati da terze parti, devi rivolgerti ai rispettivi fornitori per sapere se hanno in programma la graduale eliminazione dei cookie di terze parti. Ad esempio, potresti dover eseguire l'upgrade di una versione di una libreria che stai utilizzando, modificare un'opzione di configurazione nel servizio o non intraprendere alcuna azione se le modifiche necessarie sono gestite dalla terza parte.
2. Verifica la presenza di guasti
Puoi avviare Chrome utilizzando il flag della riga di comando --test-third-party-cookie-phaseout oppure, nella versione 118 di Chrome, devi attivare chrome://flags/#test-third-party-cookie-phaseout. In questo modo, Chrome blocca i cookie di terze parti e garantisce che siano attive nuove funzionalità e mitigazioni, in modo da simulare al meglio lo stato dopo l'eliminazione graduale.
Puoi anche provare a navigare con i cookie di terze parti bloccati tramite chrome://settings/cookies, ma tieni presente che il flag garantisce che sia attivata anche la funzionalità nuova e aggiornata. Bloccare i cookie di terze parti è un buon approccio per rilevare i problemi, ma non necessariamente verificare che tu li abbia risolti.
Se gestisci una suite di test attiva per i tuoi siti, dovresti eseguire due esecuzioni affiancate: una con Chrome con le impostazioni abituali e un'altra con la stessa versione di Chrome lanciata con il flag --test-third-party-cookie-phaseout. Eventuali errori di test nella seconda esecuzione e non nella prima sono buoni candidati per verificare le dipendenze dei cookie di terze parti. Assicurati di segnalare i problemi che riscontri.
Una volta identificati i cookie con problemi e compreso i relativi casi d'uso, puoi esaminare le opzioni seguenti per scegliere la soluzione necessaria.
3. Usa Partitioned cookie con i CHIPS
Se il tuo cookie di terze parti viene utilizzato in un contesto incorporato 1:1 con il sito di primo livello, puoi considerare l'utilizzo dell'attributo Partitioned come parte del programma CHIPS (Cookie con stato partizionato indipendente) per consentire l'accesso tra siti con un cookie separato utilizzato per ogni sito.
Per implementare i CHIPS, aggiungi l'attributo Partitioned all'intestazione Set-Cookie:
Se imposti Partitioned, il sito attiva la memorizzazione dei cookie in un contenitore di cookie separato partizionato per sito di primo livello. Nell'esempio precedente, il cookie proviene da store-finder.site, che ospita una mappa dei negozi, che consente a un utente di salvare il proprio negozio preferito. Utilizzando i CHIPS, quando brand-a.site incorpora store-finder.site, il valore del cookie fav_store è 123. Quindi, quando brand-b.site incorpora anche store-finder.site, imposterà e invierà la propria istanza partizionata del cookie fav_store, ad esempio con il valore 456.
Ciò significa che i servizi incorporati possono comunque salvare lo stato, ma non dispongono di archiviazione condivisa tra siti che consentirebbe il monitoraggio tra siti.
Potenziali casi d'uso: incorporamenti di chat di terze parti, incorporamenti di mappe di terze parti, incorporamenti di pagamenti di terze parti, bilanciamento del carico CDN delle sottorisorse, provider CMS headless, domini sandbox per la pubblicazione di contenuti utente non attendibili, CDN di terze parti che utilizzano cookie per il controllo dell'accesso, chiamate API di terze parti che richiedono cookie nelle richieste, annunci incorporati con ambito a livello di stato per publisher.
4. Utilizza l'API Storage Access e gli insiemi di siti web correlati
Se il cookie di terze parti viene utilizzato solo su un numero limitato di siti correlati, puoi considerare l'utilizzo di set di siti web correlati (RWS) per consentire l'accesso cross-site per quel cookie nel contesto dei siti definiti.
Per implementare RWS, devi definire e inviare il gruppo di siti per l'insieme. Per garantire che i siti siano correlati in modo significativo, il criterio per un insieme valido richiede di raggruppare questi siti per: siti associati con una relazione visibile tra loro (ad es. varianti dell'offerta di prodotti di un'azienda), domini di servizio (ad es. API, CDN) o domini con codice paese (ad es. *.uk, *.jp).
I siti possono utilizzare l'API Storage Access per richiedere l'accesso ai cookie tra siti utilizzando requestStorageAccess() o delegare l'accesso utilizzando requestStorageAccessFor(). Quando i siti sono nello stesso insieme, il browser concederà automaticamente l'accesso e saranno disponibili cookie cross-site.
Ciò significa che gruppi di siti correlati possono comunque utilizzare i cookie tra siti in un contesto limitato, ma non rischiano di condividere i cookie di terze parti tra siti non correlati in un modo che consentirebbe il monitoraggio tra siti.
Potenziali casi d'uso: domini specifici dell'app, domini specifici dei brand, domini specifici dei paesi, domini sandbox per la pubblicazione di contenuti di utenti non attendibili, domini di servizio per API, CDN.
5. Esegui la migrazione alle API web pertinenti
CHIPS e RWS consentono tipi specifici di accesso ai cookie tra siti garantendo al contempo la privacy dell'utente, tuttavia gli altri casi d'uso per i cookie di terze parti devono migrare a soluzioni alternative incentrate sulla privacy.
Privacy Sandbox fornisce una gamma di API create appositamente per casi d'uso specifici senza bisogno di cookie di terze parti:
- Federated Credential Management (FedCM) consente ai servizi di identità federate che consentono agli utenti di accedere a siti e servizi.
- I token di stato privati consentono misure antifrode e antispam scambiando informazioni limitate e non identificative tra i siti.
- Topics consente la pubblicità basata sugli interessi e la personalizzazione dei contenuti.
- Protected Audience consente il remarketing e i segmenti di pubblico personalizzati.
- Attribution Reporting consente di misurare le impressioni e le conversioni degli annunci.
Inoltre, Chrome supporta l'API Storage Access (SAA) per l'utilizzo in iframe con l'interazione dell'utente. SAA è già supportato su Edge, Firefox e Safari. Riteniamo che questa soluzione abbia un buon equilibrio tra preservare la privacy degli utenti e, al contempo, consentire funzionalità critiche tra siti con il vantaggio della compatibilità tra browser.
Tieni presente che l'API Storage Access mostrerà una richiesta di autorizzazione del browser agli utenti. Per offrire un'esperienza utente ottimale, invieremo una richiesta all'utente solo se il sito che chiama requestStorageAccess() ha interagito con la pagina incorporata e ha già visitato il sito di terze parti in un contesto di primo livello. Una concessione approvata consentirà l'accesso ai cookie tra siti per quel sito per 30 giorni. I casi d'uso potenziali sono incorporamenti tra siti autenticati, come widget di commento su social network, fornitori di servizi di pagamento e servizi video in abbonamento.
Se i tuoi casi d'uso di cookie di terze parti non sono contemplati da queste opzioni, devi segnalarci il problema e valutare se esistono implementazioni alternative che non dipendono da funzionalità in grado di attivare il monitoraggio tra siti.
Supporto per le aziende
Chrome gestito dall'azienda ha sempre requisiti unici rispetto all'utilizzo generico del web e faremo in modo che gli amministratori aziendali dispongano di controlli appropriati sul ritiro dei cookie di terze parti nei loro browser.
Come per la maggior parte degli esperimenti di Chrome, la maggior parte degli utenti finali aziendali verrà esclusa automaticamente dal ritiro dei cookie di terze parti dell'1%. Per i pochi che potrebbero essere interessati, gli amministratori aziendali possono impostare il criterio BlockthirdPartyCookies su false per disattivare i propri browser gestiti prima dell'esperimento e concedere il tempo di apportare le modifiche necessarie per non fare affidamento su questo criterio o sui cookie di terze parti. Per saperne di più, consulta le note di rilascio di Chrome Enterprise.
Intendiamo inoltre fornire ulteriori report e strumenti per identificare l'uso dei cookie di terze parti sui siti aziendali. Abbiamo una visibilità ridotta dei browser aziendali nelle metriche di utilizzo di Chrome, il che significa che è particolarmente importante per le aziende testare i difetti e segnalarceli.
Le integrazioni SaaS aziendali saranno in grado di utilizzare la prova relativa al ritiro di terze parti descritta di seguito.
Richiedere più tempo con la prova relativa al ritiro di terze parti per i casi d'uso non pubblicitari
Come per molti dei precedenti ritiri sul web, siamo consapevoli che in alcuni casi i siti hanno bisogno di più tempo per apportare le modifiche necessarie. Quando si tratta di cambiamenti relativi alla privacy come questo, dobbiamo anche trovare un equilibrio con i migliori interessi delle persone che utilizzano il web.
Prevediamo di offrire una prova relativa al ritiro per offrire a siti o servizi usati in un contesto tra siti un modo per registrarsi al fine di continuare ad accedere ai cookie di terze parti per un periodo di tempo limitato.
Condivideremo ulteriori dettagli man mano che i piani progrediscono, ma iniziamo con alcuni principi chiave:
- Si tratterà di una prova relativa al ritiro di terze parti che consentirà agli incorporamenti di terze parti di attivare l'utilizzo dei cookie di terze parti.
- La registrazione richiederà una procedura di revisione per garantire che la prova relativa al ritiro venga utilizzata solo per funzioni che influiscono notevolmente sui percorsi degli utenti critici e le registrazioni verranno prese in considerazione caso per caso.
- Non interferirà con i test pubblicitari pianificati per l'inizio del 2024, come descritto dalla CMA. Di conseguenza, ciò significa che i casi d'uso pubblicitari non saranno presi in considerazione per la prova relativa al ritiro.
Passaggio successivo: questo mese pubblicheremo un intent sulla mailing list blink-dev con ulteriori dettagli e continueremo ad aggiornare la documentazione qui.
Salvaguardia delle esperienze utente critiche
I cookie cross-site sono una parte fondamentale del web da oltre un quarto di secolo. Questo apporta qualsiasi cambiamento, in particolare un cambiamento che provoca un errore, un processo complesso che richiede un approccio coordinato e incrementale. Sebbene gli attributi dei cookie aggiuntivi e le nuove API incentrate sulla privacy rappresentino la maggior parte dei casi d'uso, in alcuni scenari specifici vogliamo assicurarci di non interrompere l'esperienza degli utenti che utilizzano questi siti.
Si tratta principalmente di flussi di autenticazione o di pagamento in cui un sito di primo livello apre una finestra popup o reindirizza a un sito di terze parti per un'operazione e poi torna al sito di primo livello, utilizzando un cookie durante il percorso di ritorno o nel contesto incorporato. Intendiamo fornire un insieme temporaneo di euristiche per identificare questi scenari e consentire i cookie di terze parti per un periodo di tempo limitato, offrendo ai siti un periodo più lungo per implementare le modifiche necessarie.
Passaggio successivo: questo mese pubblicheremo un intent nella mailing list blink-dev con ulteriori dettagli e continueremo ad aggiornare la documentazione.
Segnalare problemi relativi ai cookie di terze parti e richiedere assistenza
Vogliamo assicurarci di acquisire i vari scenari in cui i siti vengono interrotti senza cookie di terze parti, per assicurarci di aver fornito indicazioni, strumenti e funzionalità per consentire ai siti di uscire dalle dipendenze dei cookie di terze parti. Se il tuo sito o un servizio da cui dipende il problema con i cookie di terze parti disattivati, puoi inviarli al nostro tracker delle interruzioni all'indirizzo goo.gle/report-3pc-broken.
Se hai domande sulla procedura di ritiro e sul piano di Chrome, puoi segnalare un nuovo problema utilizzando il tag "ritiro dei cookie di terze parti " nel nostro repository dell'assistenza per gli sviluppatori.