Wenn auf Ihrer Website Drittanbieter-Cookies verwendet werden, ist es an der Zeit, Maßnahmen zu ergreifen, da diese bald eingestellt werden. Um die Tests zu vereinfachen, hat Chrome Drittanbieter-Cookies ab dem 4. Januar 2024 für 1% der Nutzer eingeschränkt. Chrome plant, die Einschränkungen für Drittanbieter-Cookies ab dem 3. Quartal 2024 auf alle Nutzer auszuweiten, vorbehaltlich aller verbleibenden wettbewerbsrelevanten Bedenken der Competition and Markets Authority des Vereinigten Königreichs.
Mit der Privacy Sandbox möchten wir das websiteübergreifende Tracking reduzieren und gleichzeitig die Funktion ermöglichen, die Onlineinhalte und -dienste für alle kostenlos zugänglich macht. Die Abschaffung und Entfernung von Drittanbieter-Cookies stellt die Herausforderung dar, da sie wichtige Funktionen bei der Anmeldung, Betrugsschutz, Werbung und generell die Möglichkeit zum Einbetten von Rich-Drittanbieter-Inhalten in Ihre Websites ermöglichen. Gleichzeitig sind sie aber auch die wichtigsten Faktoren des websiteübergreifenden Trackings.
Bei unserem vorherigen großen Meilenstein haben wir eine Reihe von APIs eingeführt, die eine datenschutzorientierte Alternative zum heutigen Status quo für Anwendungsfälle wie Identität, Werbung und Betrugserkennung darstellen. Nachdem Alternativen eingeführt wurden, können wir mit der schrittweisen Einstellung von Drittanbieter-Cookies beginnen.
In dieser Serie zum Cookie-Countdown führen wir dich durch den Zeitplan und zeigen dir, was du sofort tun kannst, um sicherzustellen, dass deine Websites vorbereitet sind.
1% Einstellung von Drittanbieter-Cookies und von Chrome unterstützte Tests
Auf der privacysandbox.com-Zeitachse sehen Sie zwei Meilensteine im 4. Quartal 2023 und im 1. Quartal 2024, die Teil der von Chrome unterstützten Tests sind. Diese Tests sind in erster Linie für Organisationen gedacht, die die Privacy Sandbox-APIs für Relevanz und Messung testen. Dabei werden wir Drittanbieter-Cookies für 1% der stabilen Chrome-Nutzer deaktivieren.
Ab Anfang 2024 werden also immer mehr Chrome-Nutzer Ihre Website ohne Drittanbieter-Cookies verwenden, auch wenn Sie nicht aktiv an von Chrome unterstützten Tests teilnehmen. Diese Testphase dauert bis zum 3. Quartal 2024. Danach planen wir nach Rücksprache mit der CMA und vorbehaltlich der Klärung wettbewerbsrechtlicher Bedenken, Drittanbieter-Cookies für alle Chrome-Nutzer zu deaktivieren.
Auf Einstellung von Drittanbieter-Cookies vorbereiten
Wir haben den Prozess in die folgenden wichtigen Schritte unterteilt, um sicherzustellen, dass Sie für die Ausführung Ihrer Website ohne Drittanbieter-Cookies vorbereitet sind:
- Nutzung von Drittanbieter-Cookies prüfen
- Prüfen Sie die Funktion auf Fehler.
- Für websiteübergreifende Cookies, bei denen Daten auf Websitebasis gespeichert werden (z. B. Einbettungen), sollten Sie
Partitionedmit CHIPS in Betracht ziehen. - Für websiteübergreifende Cookies für eine kleine Gruppe von sinnvoll verknüpften Websites können Sie Gruppen ähnlicher Websites verwenden.
- Für andere Anwendungsfälle von Drittanbieter-Cookies zu den entsprechenden Web-APIs migrieren
1. Verwendung von Drittanbieter-Cookies prüfen
Drittanbieter-Cookies können am Wert SameSite=None erkannt werden. Suchen Sie in Ihrem Code nach Instanzen, in denen Sie das Attribut SameSite auf diesen Wert festgelegt haben. Wenn Sie bereits Änderungen vorgenommen haben, um SameSite=None um das Jahr 2020 zu Ihren Cookies hinzuzufügen, sind diese Änderungen vielleicht ein guter Ausgangspunkt.
Chrome-Entwicklertools
Im Bereich „Netzwerk“ der Chrome-Entwicklertools werden Cookies angezeigt, die bei Anfragen gesetzt und gesendet wurden. Im Steuerfeld „Anwendung“ sehen Sie unter „Speicher“ die Überschrift „Cookies“. Sie können die Cookies durchsuchen, die für jede Website gespeichert werden, auf die beim Seitenaufbau zugegriffen wird. Sie können nach der Spalte SameSite sortieren, um alle None-Cookies zu gruppieren.
Ab Chrome 118 wird auf dem Tab Probleme mit den Entwicklertools das Problem mit der funktionsgefährdenden Änderung angezeigt: „Das im websiteübergreifende Kontext gesendete Cookie wird in zukünftigen Chrome-Versionen blockiert.“ Das Problem listet potenziell betroffene Cookies für die aktuelle Seite auf.
Privacy Sandbox-Analysetool (PSAT)
Außerdem haben wir das Privacy Sandbox Analysis Tool (PSAT) entwickelt, eine Entwicklertools-Erweiterung, die die Analyse der Cookie-Nutzung während Browsersitzungen erleichtert. Sie bietet Möglichkeiten zur Fehlerbehebung für Cookies und Privacy Sandbox-Funktionen sowie Zugangspunkte, über die Sie mehr über die Privacy Sandbox-Initiative erfahren können.
Die Erweiterung ergänzt die Entwicklertools mit speziellen Funktionen für Analyse- und Fehlerbehebungsszenarien im Zusammenhang mit der Einstellung von Drittanbieter-Cookies und der Einführung neuer datenschutzfreundlicher Alternativen.
Sie können die Erweiterung aus dem Chrome Web Store herunterladen oder auf das PSAT-Repository und das Wiki zugreifen.
Drittanbieter-Cookies verwenden
Wenn Sie Cookies finden, die von Drittanbietern gesetzt wurden, sollten Sie sich bei diesen Anbietern erkundigen, ob sie Pläne für die Einstellung von Drittanbieter-Cookies haben. Beispielsweise kann es sein, dass Sie eine Version einer von Ihnen verwendeten Bibliothek aktualisieren, eine Konfigurationsoption im Dienst ändern oder keine Maßnahmen ergreifen müssen, wenn der Drittanbieter die erforderlichen Änderungen selbst übernimmt.
2. Auf Bruch testen
Sie können Chrome mit dem --test-third-party-cookie-phaseout-Befehlszeilen-Flag starten oder in Chrome 118 chrome://flags/#test-third-party-cookie-phaseout aktivieren. Dadurch blockiert Chrome Drittanbieter-Cookies und stellt sicher, dass neue Funktionen und Schutzmaßnahmen aktiv sind, um den Status nach der Einstellung bestmöglich zu simulieren.
Du kannst auch versuchen, mit Drittanbieter-Cookies zu surfen, die über chrome://settings/cookies blockiert sind. Beachte jedoch, dass das Flag sicherstellt, dass die neue und aktualisierte Funktion ebenfalls aktiviert ist. Das Blockieren von Drittanbieter-Cookies ist eine gute Methode, um Probleme zu erkennen, aber nicht unbedingt zu prüfen, ob Sie sie behoben haben.
Wenn du eine aktive Testsuite für deine Websites verwendest, solltest du zwei nebeneinander ausführen: einmal mit Chrome mit den üblichen Einstellungen und einmal mit derselben Version von Chrome, die mit dem Flag --test-third-party-cookie-phaseout gestartet wurde. Alle Testfehler beim zweiten und nicht bei der ersten Ausführung eignen sich gut zur Prüfung auf Abhängigkeiten von Drittanbieter-Cookies. Melden Sie die festgestellten Probleme.
Sobald Sie die problematischen Cookies identifiziert und die jeweiligen Anwendungsfälle verstanden haben, können Sie die folgenden Optionen durchgehen, um die erforderliche Lösung zu finden.
3. Partitioned-Cookies mit CHIPS verwenden
Wenn Ihr Drittanbieter-Cookie in einem 1:1 eingebetteten Kontext mit der Website der obersten Ebene verwendet wird, können Sie die Verwendung des Attributs Partitioned als Teil des „Cookies Having Independent Partitioned State (CHIPS)“ in Betracht ziehen, um den websiteübergreifenden Zugriff mit einem separaten Cookie für jede Website zu ermöglichen.
Um CHIPS zu implementieren, fügen Sie Ihrem Set-Cookie-Header das Attribut Partitioned hinzu:
Durch Festlegen von Partitioned stimmt die Website zu, dass das Cookie in einer separaten Cookie-JAR-Datei gespeichert wird, die nach der Website der obersten Ebene partitioniert ist. Im Beispiel oben stammt das Cookie von store-finder.site, das eine Karte mit Geschäften hostet, in der Nutzer ihr Lieblingsgeschäft speichern können. Wenn CHIPS verwendet wird und brand-a.site store-finder.site einbettet, hat das fav_store-Cookie den Wert 123. Wenn brand-b.site dann store-finder.site auch einbettet, wird eine eigene partitionierte Instanz des fav_store-Cookies festgelegt und gesendet, z. B. mit dem Wert 456.
Das bedeutet, dass eingebettete Dienste weiterhin den Status speichern können, aber keinen gemeinsam genutzten websiteübergreifenden Speicher haben, der websiteübergreifendes Tracking zulässt.
Mögliche Anwendungsfälle:Chateinbettungen von Drittanbietern, Karteneinbettungen von Drittanbietern, Zahlungseinbettungen von Drittanbietern, CDN-Load-Balancing für Unterressourcen, monitorlose CMS-Anbieter, Sandbox-Domains zum Bereitstellen nicht vertrauenswürdiger Nutzerinhalte, Drittanbieter-CDNs, die Cookies für die Zugriffssteuerung verwenden, API-Aufrufe von Drittanbietern, die Cookies für Anfragen erfordern, eingebettete Anzeigen mit Statusangabe pro Publisher
Weitere Informationen zu CHIPS
4. Storage Access API und Gruppen ähnlicher Websites verwenden
Wenn Ihr Drittanbieter-Cookie nur für eine kleine Anzahl ähnlicher Websites verwendet wird, können Sie Gruppen ähnlicher Websites verwenden, um im Kontext dieser definierten Websites den websiteübergreifenden Zugriff auf das Cookie zu ermöglichen.
Zur Implementierung von RWS müssen Sie die Gruppe von Websites für den Satz definieren und einreichen. Um sicherzustellen, dass die Websites sinnvoll in Beziehung stehen, müssen diese Websites gemäß der Richtlinie für gültige Gruppen gruppiert werden nach: verknüpften Websites, die in einer Beziehung zueinander stehen (z.B. Varianten des Produktangebots eines Unternehmens), Dienstdomains (z.B. APIs, CDNs) oder länderspezifischen Domains (z.B. *.uk, *.jp).
Websites können die Storage Access API verwenden, um den websiteübergreifenden Cookie-Zugriff mit requestStorageAccess() anzufordern oder den Zugriff mit requestStorageAccessFor() zu delegieren. Wenn sich Websites innerhalb desselben Satzes befinden, gewährt der Browser automatisch Zugriff und websiteübergreifende Cookies sind verfügbar.
Das bedeutet, dass Gruppen zusammengehöriger Websites websiteübergreifende Cookies weiterhin in einem eingeschränkten Kontext verwenden können. Es besteht jedoch kein Risiko, dass Drittanbieter-Cookies auf nicht relevante Websites in einer Weise weitergegeben werden, die websiteübergreifendes Tracking zulässt.
Mögliche Anwendungsfälle:App-spezifische Domains, markenspezifische Domains, länderspezifische Domains, Sandbox-Domains zum Bereitstellen nicht vertrauenswürdiger Nutzerinhalte, Dienstdomains für APIs, CDNs.
5. Zu den relevanten Web APIs migrieren
CHIPS und RWS ermöglichen bestimmte Arten des websiteübergreifenden Cookie-Zugriffs und wahren gleichzeitig den Datenschutz für Nutzer. Die anderen Anwendungsfälle für Drittanbieter-Cookies müssen jedoch auf datenschutzorientierte Alternativen umgestellt werden.
Die Privacy Sandbox bietet eine Reihe maßgeschneiderter APIs für bestimmte Anwendungsfälle, ohne dass Drittanbieter-Cookies erforderlich sind:
- Federated Credential Management (FedCM) ermöglicht föderierte Identitätsdienste, mit denen sich Nutzer bei Websites und Diensten anmelden können.
- Private State Tokens ermöglichen den Schutz vor Betrug und Spam, indem begrenzte, nicht personenidentifizierbare Informationen zwischen Websites ausgetauscht werden.
- Topics ermöglicht interessenbezogene Werbung und personalisierte Inhalte.
- Protected Audience ermöglicht Remarketing und benutzerdefinierte Zielgruppen.
- Attributionsberichte ermöglichen die Messung von Anzeigenimpressionen und Conversions.
Darüber hinaus unterstützt Chrome die Storage Access API (SAA) für die Verwendung in iFrames mit Nutzerinteraktion. SAA wird bereits in Edge, Firefox und Safari unterstützt. Wir sind der Meinung, dass dies ein ausgewogenes Verhältnis zwischen dem Datenschutz und der Bereitstellung wichtiger websiteübergreifender Funktionen mit dem Vorteil der browserübergreifenden Kompatibilität bietet.
Hinweis: Die Storage Access API zeigt Nutzern eine Aufforderung für Browserberechtigungen an. Im Sinne einer optimalen Nutzerfreundlichkeit wird der Nutzer nur dann gefragt, wenn die Website, die requestStorageAccess() aufruft, mit der eingebetteten Seite interagiert und die Drittanbieter-Website zuvor in einem übergeordneten Kontext besucht hat. Ist dies der Fall, ist dieser Website 30 Tage lang websiteübergreifender Cookie-Zugriff gewährt. Mögliche Anwendungsfälle sind authentifizierte websiteübergreifende Einbettungen, z. B. Widgets für Kommentare in sozialen Netzwerken, Zahlungsdienstleister und abonnierte Videodienste.
Wenn Sie noch Anwendungsfälle für Drittanbieter-Cookies haben, die nicht durch diese Optionen abgedeckt sind, sollten Sie uns das Problem melden und prüfen, ob es alternative Implementierungen gibt, die nicht von Funktionen abhängen, die websiteübergreifendes Tracking ermöglichen.
Abbildung: Enterprise Support
Für den von Unternehmen verwalteten Chrome-Browser gelten im Vergleich zur allgemeinen Webnutzung immer besondere Anforderungen. Unternehmensadministratoren können die Einstellung von Drittanbieter-Cookies in ihren Browsern entsprechend steuern.
Wie bei den meisten Chrome-Tests werden die meisten Endnutzer von Unternehmen von der automatischen Einstellung von Drittanbieter-Cookies von 1% ausgeschlossen. Bei den wenigen, die möglicherweise betroffen sind, können Unternehmensadministratoren die BlockThirdPartyCookies-Richtlinie auf false setzen, um ihre verwalteten Browser vor dem Test zu deaktivieren und Zeit zu geben, um die notwendigen Änderungen vorzunehmen, um sich nicht auf diese Richtlinie oder Drittanbieter-Cookies zu verlassen. Weitere Informationen finden Sie in den Versionshinweisen für Chrome Enterprise.
Wir werden auch weitere Berichte und Tools bereitstellen, um die Verwendung von Drittanbieter-Cookies auf Unternehmenswebsites zu ermitteln. Wir haben in den Nutzungsmesswerten von Chrome weniger Einblick in die Browser von Unternehmen. Daher ist es besonders wichtig für Unternehmen, auf Fehler zu testen und uns Probleme zu melden.
Bei SaaS-Integrationen für Unternehmen kann der unten beschriebene Test zur Einstellung von Drittanbietern genutzt werden.
Mehr Zeit für den Einstellungstest von Drittanbietern für Anwendungsfälle außerhalb von Werbung anfordern
Wie bei vielen früheren Einstellungen im Web wissen wir, dass einige Websites mehr Zeit benötigen, um die erforderlichen Änderungen vorzunehmen. Wenn es um solche Veränderungen beim Datenschutz geht, müssen wir dies auch gegen die Interessen der Nutzer im Web abwägen.
Wir planen einen Test zur Einstellung, um Websites oder Diensten, die websiteübergreifend genutzt werden, die Möglichkeit zu geben, sich für eine begrenzte Zeit für den ununterbrochenen Zugriff auf Drittanbieter-Cookies zu registrieren.
Wir werden im Laufe der Pläne weitere Details bekannt geben, aber wir beginnen mit einigen Grundprinzipien:
- Es ist ein Test zur Einstellung von Drittanbietern, bei dem Einbettungen von Drittanbietern vorübergehend die Nutzung von Drittanbieter-Cookies aktivieren können.
- Die Registrierung erfordert eine Überprüfung, um sicherzustellen, dass der Einstellungstest nur für Funktionen verwendet wird, die sich stark auf kritische Nutzerpfade auswirken. Registrierungen werden von Fall zu Fall berücksichtigt.
- Die für Anfang 2024 geplanten Werbetests, wie von der CMA beschrieben, werden nicht beeinträchtigt. Das bedeutet, dass Werbeanwendungsfälle während des Einstellungstests nicht berücksichtigt werden.
Nächster Schritt:Wir werden diesen Monat einen Intent mit weiteren Details in der Mailingliste blink-dev veröffentlichen und die Dokumentation hier fortlaufend aktualisieren.
Kritische User Experiences erhalten
Websiteübergreifende Cookies sind seit über einem Vierteljahrhundert ein wichtiger Bestandteil des Web. Das macht jede Änderung, insbesondere eine funktionsgefährdende Änderung, zu einem komplexen Prozess, der einen koordinierten und inkrementellen Ansatz erfordert. Die zusätzlichen Cookie-Attribute und die neuen datenschutzorientierten APIs machen die meisten Anwendungsfälle aus. Es gibt jedoch bestimmte Szenarien, in denen wir dafür sorgen möchten, dass die Nutzererfahrung dieser Websites nicht beeinträchtigt wird.
In erster Linie handelt es sich dabei um Authentifizierungs- oder Zahlungsabläufe, bei denen eine Website der obersten Ebene entweder ein Pop-up-Fenster öffnet oder für einen Vorgang auf die Website eines Drittanbieters weiterleitet und dann zur Top-Level-Website zurückkehrt, wobei entweder beim Zurückgehen oder im eingebetteten Kontext ein Cookie verwendet wird. Wir möchten temporäre Heuristiken zur Identifizierung dieser Szenarien bereitstellen und Drittanbieter-Cookies für eine begrenzte Zeit zulassen, sodass Websites ein längeres Zeitfenster für die Implementierung der erforderlichen Änderungen haben.
Nächster Schritt:Wir werden in diesem Monat einen Intent mit weiteren Details in der blink-dev-Mailingliste veröffentlichen. Die Dokumentation wird hier laufend aktualisiert.
Probleme mit Drittanbieter-Cookies melden und Hilfe erhalten
Wir möchten die verschiedenen Szenarien erfassen, in denen Websites ohne Drittanbieter-Cookies nicht funktionieren, um sicherzustellen, dass wir Anleitungen, Tools und Funktionen zur Verfügung stellen, die es Websites ermöglichen, ihre Drittanbieter-Cookie-Abhängigkeiten zu migrieren. Wenn auf Ihrer Website oder bei einem Ihrer Dienste Probleme mit deaktivierten Drittanbieter-Cookies auftreten, können Sie dies unter goo.gle/report-3pc-broken an unseren Fehler-Tracker senden.
Wenn Sie Fragen zur Einstellung von Chrome und zum Plan von Chrome haben, können Sie mithilfe des Tags „Einstellung von Drittanbieter-Cookies“ in unserem Entwickler-Support-Repository ein neues Problem melden.