Kukis paling baik masih segar, jadi apa resep terbaru untuk memastikan Anda masih bisa menikmati musim seram tanpa kukis yang sudah usang?
Kukis adalah yang terbaik, jadi apa resep terbaru untuk memastikan Anda masih dapat menikmati musim seram tanpa kukis yang usang?
Kami sedang dalam proses menghentikan cookie pihak ketiga secara bertahap di seluruh platform web. Ini adalah tonggak pencapaian besar dalam menangani pelacakan lintas situs, tapi ini adalah bagian dari perjalanan yang cukup panjang. Mari kita lihat seberapa jauh pencapaian kita dan suguhan apa yang tersedia di masa depan...
Di platform, cookie menyediakan penyimpanan nilai kunci sederhana yang dikirim antara
browser dan server. Fungsionalitas tersebut dapat memberikan fungsi yang berguna di situs seperti
menyimpan preferensi: theme=bats
atau menyimpan ID sesi untuk pengguna yang
login.
Jika cookie tersebut digunakan pada situs yang sama yang menetapkannya, kami cenderung menyebutnya
cookie pihak pertama. Jika cookie digunakan sebagai bagian dari situs yang berbeda
dengan situs yang menetapkannya, kami menyebutnya cookie pihak ketiga. Misalnya, cookie
theme=bats
saya akan menjadi pihak pertama jika saya mengunjungi situs yang sama yang menetapkannya,
tetapi jika cookie disertakan dalam iframe atau resource lintas situs lainnya sebagai bagian dari
situs yang berbeda, cookie tersebut akan menjadi cookie pihak ketiga.
Masalah dengan cookie pihak ketiga adalah cookie dapat mengaktifkan pelacakan lintas situs. Alih-alih menyetel sesuatu seperti tema, layanan bersama mungkin menyimpan seluruh ID di sana. ID yang sama tersebut kemudian akan dikirim saat Anda bernavigasi di berbagai situs yang menyertakan cookie layanan bersama—yang berarti bahwa satu layanan dapat mengamati dan menautkan aktivitas Anda di seluruh situs tersebut.
Cookie pihak pertama secara default
Kita sudah membuat kemajuan dalam perjalanan di sini! Dulu hanya menyetel
cookie biasa: theme=pumpkins
akan dikirim dalam semua konteks: situs yang sama atau
lintas situs. Sebagian besar situs hanya ingin cookie mereka dikirim dalam konteks situs yang sama. Ini dapat dikontrol melalui atribut SameSite
di
cookie. Contoh:
Set-Cookie: theme=bats; SameSite=Lax
Hal ini akan memberi tahu browser untuk hanya mengirim cookie jika resource cocok dengan situs tingkat atas. Namun, itu berarti situs harus menentukan kapan cookie pihak pertama diinginkan. Hal tersebut agak ke belakang dalam istilah keamanan karena sebenarnya Anda harus bertanya ketika Anda menginginkan lebih banyak hak istimewa - bukan hanya mendapatkannya secara default.
Jadi sekarang, SameSite=Lax
adalah default. Jika Anda baru saja menetapkan theme=bats
, kode tersebut hanya akan
dikirim dalam konteks situs yang sama.
Jika menginginkan cookie lintas situs atau pihak ketiga (mungkin Anda perlu menampilkan tema di widget tersemat), tentukan:
Set-Cookie: theme=bats; SameSite=None; Secure
Cara ini memberi tahu browser bahwa Anda ingin cookie dikirim dalam konteks lintas situs apa pun, tetapi kami ingin membatasi hanya pada koneksi aman.
Kuki pihak pertama yang lebih lezat
Meskipun {i>default-<i}nya menjadi sedikit lebih baik, masih ada ruang untuk memperbaiki resep itu. Berikut sedikit gambarannya:
Set-Cookie: __Host-theme=bats;
Secure;
Path=/;
HttpOnly;
Max-Age=7776000;
SameSite=Lax;
Dengan demikian, Anda akan mendapatkan cookie pihak pertama yang tetap dibatasi hanya untuk satu domain, koneksi aman, tanpa akses oleh JavaScript, berakhir secara otomatis sebelum menjadi tidak berlaku, dan (tentu saja) hanya diizinkan dalam konteks situs yang sama.
Kukis terasa lebih enak dengan CHIPS!
Salah satu aspek ajaib dari web adalah kemampuan untuk menyusun beberapa situs bersamaan. Katakanlah saya ingin membuat widget peta yang memungkinkan situs lain menampilkan tur patch labu terbaik atau rute trick-or-treat. Layanan saya menggunakan cookie agar pengguna dapat menyimpan progres di sepanjang rute. Masalahnya adalah, cookie pihak ketiga yang sama akan dikirim di situs patch labu seperti di situs trick-or-treat. Saya tidak ingin melacak pengguna antar-situs, tetapi browser hanya menggunakan satu wadah cookie—tidak ada cara untuk memisahkan penggunaan tersebut.
Di situlah proposal {i>Cookies<i} Memiliki Status Partisi Independen, atau {i>CHIPS<i}, proposal digunakan. Sebagai ganti satu stoples kue bersama, ada satu
botol kue yang terpisah dan dipartisi per situs tingkat atas. Situs akan memilih untuk melakukannya dengan menggunakan
atribut Partitioned
pada cookie-nya.
Set-Cookie: __Host-route=123;
SameSite=None;
Secure;
Path=/;
Partitioned;
Alih-alih berbagi stoples kue itu, semua orang bisa memilih sendiri! Lebih sederhana, lebih aman, dan lebih higienis.
Kami baru saja mengirimkan Intent to Ship untuk Cookie Memiliki Status Partisi Independen (CHIPS) di Chrome 109, yang berarti cookie tersebut akan tersedia untuk diuji dalam versi Beta pada bulan Desember dan siap untuk Stabil pada Januari 2023. Jadi, jika Anda mencari resolusi tahun baru untuk meningkatkan resep cookie situs, lihatlah dan lihat apakah Anda bisa mulai menambahkan CHIPS ke cookie lintas situs tersebut.
Mengundang cookie ke pesta dengan Set Pihak Pertama
Terkait masukan dari developer, banyak dari Anda juga memperjelas bahwa ada
situasi saat Anda berbagi layanan di seluruh situs yang Anda kontrol dan ingin
dapat menggunakan cookie di seluruh situs tersebut - tetapi tidak mengizinkannya dikirim dalam konteks pihak ketiga
yang sebenarnya. Misalnya, mungkin Anda memiliki pretty-pumpkins.com
dan
pretty-pumpkins.co.uk
. Anda mungkin memiliki sistem single sign on berbasis cookie
yang berfungsi di seluruh situs tersebut. CHIPS tidak akan berfungsi karena saya hanya perlu
masuk di kedua situs—persyaratannya adalah saya memerlukan cookie yang sama di
situs-situs terkait tersebut.
Kami sedang mengerjakan proposal Set Pihak Pertama untuk mencoba dan mewujudkannya. Kita telah melalui satu uji coba origin dan banyak diskusi komunitas yang membawa kita ke versi terbaru yang bertujuan untuk:
- Memberi organisasi cara untuk menentukan grup situs yang harus berpihak yang sama satu sama lain.
- Manfaatkan Storage Access API untuk meminta akses ke cookie lintas situs di dalam kumpulan pihak pertama tersebut.
Semua cookie ini masih dipanggang dalam oven, tetapi Anda dapat memeriksanya di panduan developer Set Pihak Pertama jika ada banyak hal lain yang dapat diuji, atau Anda dapat langsung membuka proposal WICG/first-party-sets jika ingin berkontribusi dalam diskusi.
Jangan biarkan cookie Anda menjadi basi!
Tujuan kami adalah mulai menghentikan dukungan untuk cookie pihak ketiga di Chrome secara bertahap mulai pertengahan tahun 2024. Ada waktu untuk mempersiapkan, tetapi Anda harus memulai perencanaan dari sekarang.
- Audit kode Anda untuk setiap cookie dengan
SameSite=None
. Ini adalah cookie yang akan memerlukan pembaruan. - Jika Anda tidak memiliki cookie pihak ketiga, pastikan cookie situs yang sama menggunakan Resep cookie pihak pertama terbaik
- Jika Anda menggunakan cookie tersebut dalam konteks tersemat yang sepenuhnya dimuat, selidiki dan uji proposal CHIPS.
- Jika Anda memerlukan cookie tersebut di beberapa situs yang membentuk satu grup kohesif, selidiki proposal Set Pihak Pertama.
- Jika tidak tercakup dalam salah satu opsi ini, Anda harus menyelidiki proposal Privacy Sandbox lainnya tempat kami mengembangkan API yang dibuat khusus untuk kasus penggunaan individual yang tidak mengandalkan pelacakan lintas situs.
Ini hanyalah ringkasan singkat dan kami akan terus membagikan berita dan panduan lainnya seiring berjalannya pekerjaan. Jika ada pertanyaan, masalah, atau ingin membagikan hasil pekerjaan Anda sendiri, kami memiliki banyak rute yang dapat Anda gunakan untuk menghubunginya.
Jadi, ingat: kukis memang enak, tetapi hanya beberapa kue dalam satu waktu dan tentu saja jangan mencoba mencuri milik orang lain!