I biscotti sono freschissimi, quindi quali sono le ultime ricette per assicurarti di poter goderti ancora la stagione spettrale senza i biscotti stantii?
I biscotti sono freschissimi. Quali sono le ultime ricette per assicurarti di poter godere ancora di una stagione spettrale senza biscotti stantii?
Siamo sulla strada giusta per eliminare gradualmente i cookie di terze parti sulla piattaforma web. Si tratta di un grande traguardo per affrontare il monitoraggio tra siti, ma fa parte di un percorso piuttosto lungo. Diamo un'occhiata a quanto abbiamo fatto e quali offerte ci saranno in futuro...
In apparenza, i cookie forniscono un semplice archivio chiave-valore che viene inviato tra il browser e il server. Ciò può fornire funzionalità utili su un sito, ad esempio il salvataggio di una preferenza theme=bats o la memorizzazione dell'ID sessione di un utente che ha eseguito l'accesso.
Se quel cookie viene utilizzato sullo stesso sito che lo ha impostato, tendiamo a chiamarlo
cookie proprietario. Se viene utilizzato all'interno di un sito diverso da quello
che lo ha impostato, lo chiamiamo cookie di terze parti. Ad esempio, il mio cookie theme=bats sarebbe proprietario se visito lo stesso sito che lo ha impostato, ma se è incluso in un iframe o in un'altra risorsa cross-site come parte di un sito diverso, si tratta di un cookie di terze parti.
Il problema dei cookie di terze parti è che possono attivare il monitoraggio tra siti. Invece di impostare un tema, il servizio condiviso potrebbe archiviare un intero identificatore al suo interno. Lo stesso identificatore viene quindi inviato quando navighi in diversi siti che includono il cookie dei servizi condivisi, il che significa che un servizio può osservare e collegare la tua attività su quei siti.
Cookie proprietari per impostazione predefinita
Abbiamo già fatto progressi nel nostro percorso qui! In precedenza, la semplice impostazione
di un cookie semplice: theme=pumpkins veniva inviata in tutti i contesti: same-site o
cross-site. La maggior parte dei siti vuole che i cookie vengano inviati solo nello stesso contesto del sito. Ciò può essere controllato tramite l'attributo SameSite nel
cookie. Ad esempio:
Set-Cookie: theme=bats; SameSite=Lax
Questo indica al browser di inviare il cookie solo se la risorsa corrisponde al sito di primo livello. Tuttavia, ciò significava che il sito doveva specificare quando voleva il cookie proprietario. È un po' indietro in termini di sicurezza, perché in realtà dovresti chiedere se hai bisogno di maggiori privilegi, non solo per riceverli per impostazione predefinita.
Quindi, ora, SameSite=Lax è l'impostazione predefinita. Se imposti theme=bats, verrà inviato solo
in un contesto dello stesso sito.
Se vuoi un cookie cross-site o di terze parti (ad esempio, se hai bisogno che il tema venga visualizzato in un widget incorporato), devi specificare:
Set-Cookie: theme=bats; SameSite=None; Secure
In questo modo indichi al browser di voler inviare il cookie in qualsiasi contesto tra siti, ma vogliamo limitare le connessioni sicure.
Biscotti proprietari ancora più gustosi
Anche se la versione predefinita è migliorata, c'è ancora spazio per migliorare la ricetta. Ecco un assaggio:
Set-Cookie: __Host-theme=bats;
Secure;
Path=/;
HttpOnly;
Max-Age=7776000;
SameSite=Lax;
In questo modo otterrai un cookie proprietario che rimane limitato a un solo dominio, connessioni sicure, nessun accesso tramite JavaScript, scade automaticamente prima che diventi inattivo e (ovviamente!) è consentito solo in contesti dello stesso sito.
I biscotti sono più buoni con le CHIPS.
Uno degli aspetti magici del web è la capacità di comporre più siti insieme. Supponiamo di voler creare un widget mappa che consenta ad altri siti di mostrare i migliori tour dell'area delle zucche o i percorsi "dolcetto o scherzetto". Il mio servizio utilizza un cookie per consentire agli utenti di memorizzare i loro progressi lungo il percorso. Il problema è che lo stesso cookie di terze parti verrà inviato sul sito di pumpkin cooper e sul sito di dolcetto o scherzetto. Non desidero monitorare gli utenti tra un sito e l'altro, ma il browser utilizza soltanto un barattolo di cookie e non posso distinguerli.
È qui che entra in gioco la proposta "Cookie con stato partizionato indipendente", o CHIPS. Invece di un barattolo di cookie condiviso, c'è un barattolo di cookie separato e
partizionato per ciascun sito di primo livello. I siti possono attivare questa funzionalità utilizzando
l'attributo Partitioned nel cookie.
Set-Cookie: __Host-route=123;
SameSite=None;
Secure;
Path=/;
Partitioned;
Invece di condividere quel barattolo di biscotti, ognuno ha il proprio! Più semplice, più sicuro e igienico.
Abbiamo appena inviato in Chrome 109 l'Intent to Ship per i CHIPS con stato partizionato indipendente, il che significa che saranno disponibili per i test in versione beta a dicembre e poi pronti per il canale stabile a gennaio 2023. Quindi, se hai intenzione di migliorare la ricetta dei biscotti del tuo sito per il nuovo anno, dai un'occhiata e prova a iniziare a spruzzare CHIPS nei cookie su più siti.
Invitare i cookie alla parte con insiemi proprietari
In merito al feedback degli sviluppatori, molti di voi hanno anche chiarito che ci sono situazioni in cui condividi i servizi tra i siti che controlli e vuoi poter usare i cookie su di essi, senza lasciarli inviati in veri contesti di terze parti. Ad esempio, forse hai pretty-pumpkins.com e
pretty-pumpkins.co.uk. Potresti avere un sistema Single Sign-On basato sui cookie che funziona su tutti i siti. I CHIPS non funzionerebbero perché devo solo accedere a entrambi i siti; il requisito è che ho bisogno dello stesso cookie per tutti i siti correlati.
Stiamo lavorando alla proposta degli insiemi proprietari per provare a rendere possibile tutto ciò. Abbiamo vissuto una prova dell'origine e un'infinità di discussioni tra community che ci hanno portato all'ultima versione che mira a:
- Dai alle organizzazioni un modo per definire un gruppo di siti che dovrebbero essere uguali tra loro.
- Utilizza l'API Storage Access per richiedere l'accesso ai cookie cross-site all'interno dell'insieme proprietario.
Questi cookie sono ancora cotti al forno, ma puoi consultare la guida per gli sviluppatori degli insiemi proprietari quando c'è altro da testare oppure puoi passare alla proposta WICG/set proprietari se vuoi contribuire alla discussione.
Non lasciare che i tuoi cookie diventino inattivi!
Il nostro obiettivo è iniziare a ritirare gradualmente il supporto per i cookie di terze parti in Chrome a partire da metà 2024. Puoi prepararti, ma dovresti iniziare subito a pianificare.
- Controlla il tuo codice per verificare la presenza di eventuali cookie con
SameSite=None. Questi sono i cookie che richiedono aggiornamenti. - Se non hai cookie di terze parti, assicurati che i cookie dello stesso sito utilizzino le migliori ricette di cookie proprietari
- Se utilizzi questi cookie in un contesto incorporato e completamente contenuto, esamina e testa la proposta CHIPS.
- Se hai bisogno di questi cookie in più siti che formano un gruppo coeso, esamina la proposta di insiemi proprietari.
- Se non trovi una di queste opzioni, dovrai esaminare le altre proposte di Privacy Sandbox in cui stiamo sviluppando API create appositamente per singoli casi d'uso che non si basano sul monitoraggio tra siti.
Questa è solo una breve panoramica. Continueremo a condividere notizie e guida man mano che i lavori avanzano. Se hai domande o problemi oppure vuoi condividere i risultati del tuo lavoro, puoi contare su moltissime modalità di contatto.
Ricorda: i biscotti possono essere deliziosi, ma solo pochi alla volta e non cercare di rubare quelli degli altri.