Ciasteczka są zawsze świeże. Jakie są najnowsze przepisy, dzięki którym poczujesz upiorny sezon bez nieaktualnych ciasteczek?
Ciasteczka są zawsze świeże, więc jakie przepisy pozwolą Ci cieszyć się upiornym sezonem bez nieaktualnych ciasteczek?
Jesteśmy na dobrej drodze do wycofania plików cookie innych firm z całej platformy internetowej. To ważny krok milowy w zwalczaniu śledzenia w witrynach, ale to część długiej drogi. Rzućmy okiem na to, jak daleko już udało nam się zajść i co nas czeka w przyszłości...
Pozornie pliki cookie udostępniają prosty magazyn par klucz-wartość przesyłany między przeglądarką a serwerem. Może to zapewniać przydatne funkcje witryny, np. zapisywanie ustawienia theme=bats lub przechowywanie identyfikatora sesji zalogowanego użytkownika.
Jeśli jest on wykorzystywany w witrynie, w której go ustawił, zwykle nazywamy go „własnym plikiem cookie”. Jeśli pliki cookie są używane w innej witrynie niż ta, która je ustawiła, określamy jako plik cookie innej firmy. Na przykład plik cookie theme=bats będzie własnym plikiem cookie, jeśli odwiedzam tę samą witrynę, która go skonfigurowała, ale jeśli znajduje się w elemencie iframe lub innym zasobie z innej witryny jako część innej witryny, będzie to plik cookie innej firmy.
Problem z plikami cookie innych firm polega na tym, że mogą one umożliwiać śledzenie w witrynach. Zamiast ustawiać coś takiego jak motyw, usługa współdzielona może przechowywać w niej cały identyfikator. Ten sam identyfikator jest następnie wysyłany, gdy przeglądasz różne witryny zawierające pliki cookie udostępnianych usług. Oznacza to, że jedna usługa może obserwować i łączyć Twoją aktywność w tych witrynach.
Domyślnie własne pliki cookie
Robimy już postępy! Dawniej wystarczyło tylko utworzenie zwykłego pliku cookie – plik theme=pumpkins był wysyłany we wszystkich kontekstach – w tej samej witrynie czy w innej witrynie. Większość witryn chce, aby ich pliki cookie były wysyłane tylko w kontekście tej samej witryny. Można to kontrolować za pomocą atrybutu SameSite pliku cookie. Na przykład:
Set-Cookie: theme=bats; SameSite=Lax
Dzięki temu przeglądarka będzie wysyłać plik cookie tylko wtedy, gdy zasób pasuje do witryny najwyższego poziomu. Oznacza to jednak, że witryna musi określić, kiedy chce korzystać z własnych plików cookie. To nieco wstecz w kwestii bezpieczeństwa, ponieważ tak naprawdę powinno się pytać, kiedy potrzebuje więcej uprawnień, a nie tylko domyślnie.
Obecnie domyślna opcja to SameSite=Lax. Jeśli ustawisz atrybut theme=bats, będzie on wysyłany tylko w kontekście tej samej witryny.
Jeśli potrzebujesz pliku cookie pochodzącego z innej witryny lub innej firmy (może chcesz, by motyw był wyświetlany w umieszczonym widżecie), musisz określić:
Set-Cookie: theme=bats; SameSite=None; Secure
Dzięki temu przeglądarka sygnalizuje, że plik cookie ma zostać wysłany w dowolnym kontekście w różnych witrynach, ale chcemy ograniczyć dostęp tylko do bezpiecznych połączeń.
Nawet smakowite własne pliki cookie
Choć ustawienie domyślne uległo zmianie, nadal możesz poprawić ten przepis. Oto kilka informacji:
Set-Cookie: __Host-theme=bats;
Secure;
Path=/;
HttpOnly;
Max-Age=7776000;
SameSite=Lax;
Dzięki temu uzyskasz własny plik cookie, który będzie dostępny tylko w jednej domenie, bezpieczne połączenia i brak dostępu przez JavaScript. Automatycznie utraci ważność, zanim straci ważność. Dodatkowo będzie dozwolony tylko w kontekście tej samej witryny.
Ciastka smakują lepiej z CHIPS!
Jedną z największych zalet internetu jest możliwość tworzenia razem wielu witryn. Powiedzmy, że chcę utworzyć widżet mapy, który pozwala innym witrynom wyświetlać najlepsze wycieczki po planach dyniowych lub trasy z psikusami i psikusami. Moja usługa używa pliku cookie, aby umożliwić użytkownikom zapisywanie postępów na trasie. Problem polega na tym, że ten sam plik cookie innej firmy zostanie przesłany do witryny z dyniowymi kropkami co w witrynie o cukierkach lub psikusach. Nie chcę śledzić użytkowników w różnych witrynach, ale przeglądarka używa tylko jednego pliku cookie – nie mogę tego rozdzielić!
Właśnie tu pojawia się propozycja
„Pliki cookie o niezależnym państwie partycjonowanym”. Zamiast 1 udostępnionego słoiku plików cookie dla każdej witryny najwyższego poziomu jest osobny, podzielony na partycje pliki cookie. Witryny zgodziły się na to, używając atrybutu Partitioned w pliku cookie.
Set-Cookie: __Host-route=123;
SameSite=None;
Secure;
Path=/;
Partitioned;
Nie trzeba dzielić się tym słoikiem – każdy otrzyma swój własny! Prostsza, bezpieczniejsza i bardziej higieniczna.
Właśnie wysłaliśmy w Chrome 109 intencję do wysyłki dotyczącą plików cookie wykorzystujących niezależny stan partycjonowania (CHIPS). Oznacza to, że w grudniu będą one dostępne do testów beta, a w styczniu 2023 r. będą gotowe do wprowadzenia wersji stabilnej. Jeśli więc na noworoczny przepis chcesz ulepszyć przepis na ciasteczka, sprawdź, czy możesz dodać CHIPS do tych ciasteczek.
Zapraszanie plików cookie na imprezę za pomocą zestawów źródeł własnych
W związku z opiniami deweloperów wiele z Was wyjaśniało też, że są sytuacje, w których udostępniacie usługi w swoich witrynach i chce w ich przypadku używać plików cookie, ale nie pozwala na ich wysyłanie w prawdziwym kontekście firm zewnętrznych. Być może masz na przykład pretty-pumpkins.com i pretty-pumpkins.co.uk. Możesz używać systemu logowania jednokrotnego opartego na plikach cookie,
który działa w tych witrynach. CHIPS nie zadziała, bo trzebaby się zalogować w obu witrynach – zgodnie z wymogiem potrzebuję tego samego pliku cookie w każdej z nich.
Pracujemy nad ofertą zestawów źródeł własnych, aby to umożliwić. Przeprowadziliśmy testy dotyczące origin i wiele dyskusji w społeczności, dlatego opracowaliśmy najnowszą wersję, która ma na celu:
- Zapewnij organizacjom możliwość definiowania grupy witryn, które powinny być ze sobą zgodne.
- Użyj interfejsu Storage Access API, aby poprosić o dostęp do plików cookie pochodzących z innych witryn w ramach tego zbioru własnego.
Wszystkie te pliki cookie są jeszcze w piekarniku, ale gdy pojawi się więcej rzeczy do przetestowania, zajrzyj do przewodnika dla programistów zestawów źródeł własnych. Jeśli chcesz wziąć udział w dyskusji, możesz skorzystać z propozycji WICG/zestawów własnych.
Nie pozwól, by Twoje pliki cookie się przestarzały!
Zamierzamy zacząć stopniowo wycofywać obsługę plików cookie innych firm w Chrome od połowy 2024 r. Masz czas na przygotowanie się, ale zacznij planować już teraz.
- Skontroluj kod pod kątem wszelkich plików cookie za pomocą usługi
SameSite=None. To właśnie pliki cookie wymagają aktualizacji. - Jeśli nie masz żadnych plików cookie innych firm, upewnij się, że pliki cookie z tej samej witryny korzystają z najlepszych przepisów na własne pliki cookie.
- Jeśli używasz tych plików cookie w całkowicie umieszczonym kontekście, sprawdź i przetestuj ofertę CHIPS.
- Jeśli potrzebujesz tych plików cookie w wielu witrynach, które tworzą spójną grupę, zapoznaj się z propozycją dotyczącą zestawów źródeł własnych.
- Jeśli nie możesz skorzystać z żadnej z tych opcji, zapoznaj się z innymi ofertami dotyczącymi Piaskownicy prywatności, w których opracowujemy specjalne interfejsy API do indywidualnych zastosowań, które nie opierają się na śledzeniu w witrynach.
To tylko krótkie omówienie prac. W miarę postępów będziemy udostępniać kolejne informacje i wskazówki. Jeśli masz pytania lub problemy albo chcesz podzielić się wynikami swojej pracy, możesz się skontaktować z nami na wiele sposobów.
Pamiętaj: ciastka mogą być pyszne, ale tylko kilka naraz i nie próbuj ich kraść.