כדאי להתכונן להוצאה משימוש של קובצי Cookie של צדדים שלישיים

המדריך הזה יעזור לכם להבין את ההשפעה ואת השינויים הנדרשים בתוסף על ידי הפסקת התמיכה בקובצי Cookie של צד שלישי ב-Chrome.

סקירה כללית

ב-4 בינואר 2024 הושק ב-Chrome התכונה חסימת מעקב, שמגבילה כברירת מחדל את הגישה של אתרים לקובצי Cookie של צד שלישי (3P) ל-1% מהמשתמשים. בתחילת 2025, אנחנו מתכננים להוציא משימוש את קובצי ה-Cookie של צד שלישי באופן מלא ב-Chrome.

לפחות שני תהליכי שימוש מושפעים מהתוספים של Classroom:

  1. התהליך של כניסה יחידה (SSO) ב-Google
  2. העברת משתמשים לכרטיסיות חדשות

Google SSO

במהלך תהליך ה-SSO של Google, המשתמשים מועברים לתיבת דו-שיח כדי להיכנס לחשבון Google שלהם ולהביע הסכמה לשיתוף הנתונים.

הצגה חזותית של שלושת ההקשרים השונים של קובצי cookie במהלך SSO מתוך iframe

איור 1. תצוגה חזותית של שלושת ההקשרים השונים של קובצי cookie במהלך SSO מתוך iframe:‏ (1) אפליקציית Classroom ברמה העליונה,‏ (2) ה-iframe המוטמע של הצד השלישי (DavidPuzzle ב-localhost במקרה הזה) ו-(3) תיבת הדו-שיח של OAuth ברמה העליונה.

בהטמעה רגילה של תוסף, קובץ cookie זמני מוגדר בסיום תהליך הכניסה. ה-iframe של התוסף, שנמצא בהקשר מוטמע, נטען מחדש עם קובץ ה-cookie של הסשן, ומאפשר למשתמש לגשת לסשן המאומת. עם זאת, כשקובצי cookie של צד שלישי מושבתים, לאתרים בהקשר מוטמע, כמו iframe של תוספים, אין גישה לקובצי cookie מההקשרים שלהם ברמה העליונה. לגבי תוספים של Classroom, המשתמש לא יכול לגשת לסשן המאומת שלו ונתקע בלולאת כניסה.

בהטמעות שבהן קובץ ה-cookie של הסשן מוגדר בהקשר של ה-iframe המוטמע, אפשר לצמצם את הבעיה באמצעות CHIPS API, שמאפשר לאתרים מוטמעים להגדיר קובצי cookie מחולקים (קובצי cookie עם מפתחות גם באתר המוטמע וגם בדומיין המוטמע) ולגשת אליהם. עם זאת, הטמעות שמגדירות את קובץ ה-cookie של הסשן בהקשר ברמה העליונה של תיבת הדו-שיח לכניסה לא יכולות לגשת לקובץ ה-cookie ללא חלוקה למחיצות ב-iframe, וכתוצאה מכך לא ניתן להיכנס לחשבון.

כרטיסיות חדשות

מסיבות דומות, אם למשתמש יש סשן מאומת שמבוסס על קובצי cookie ב-iframe של תוסף, וה-iframe פותח את המשתמש בכרטיסייה חדשה ברמה העליונה לפעילות מסוימת, הכרטיסייה ברמה העליונה לא תוכל לגשת לקובץ ה-cookie של הסשן שחולק למחיצות מ-iframe. כך מצב הסשן של iframe לא יישמר בפעילות בכרטיסייה החדשה, ויכול להיות שהמשתמש ייאלץ להיכנס שוב לכרטיסייה החדשה. CHIPS API לא יכול לפתור את הבעיה הזו, מטבעו. לא ניתן לגשת לקובצי ה-cookie של ה-iframe המחולקים בהקשר ברמה העליונה.

פעולות למפתחים

יש כמה פעולות שחשוב לבצע כדי להבטיח שהתוסף ימשיך לפעול כמצופה בזמן ש-Chrome יפסיק בהדרגה את השימוש בקובצי cookie של צד שלישי.

  1. מבצעים ביקורת על השימוש בקובצי cookie של צד שלישי במסלולי המשתמש החיוניים של התוסף. באופן ספציפי יותר, כדאי לבדוק את ההשפעה של השבתת קובצי cookie של צד שלישי כדי להעריך את ההשפעה על ההטמעה הספציפית שלכם.

  2. מידע נוסף על Storage Access API לכל הטמעות של תוספים, מומלץ להתנסות ב-API של Storage Access (SAA). SAA מאפשרת למסגרות iframe לגשת לקובצי ה-cookie מחוץ להקשר של iframe. התכונה זמינה כבר עכשיו ב-Chrome, ויש לה תמיכה באפליקציית Classroom.

  3. להצטרף ל-FedCM. בנוסף, אם אתם משתמשים ב-GIS, בספרייה 'כניסה באמצעות חשבון Google', ההנחיות הרשמיות של צוות Identity הן להצטרף ל-FedCM. האפשרות הזו לא מחליפה את היכולות של קובצי cookie של צד שלישי, אבל בסופו של דבר היא תהיה נדרשת ב-GIS כחלק מההוצאה משימוש של קובצי cookie של צד שלישי. FedCM זמין היום ב-Chrome ונתמך ב-Classroom, אבל ההתנהגות והתכונות עדיין בפיתוח ופתוחים לקבלת משוב.

  4. מעבר ל-GIS. אם אתם משתמשים בספריית GSIv2, שנמצאת בשימוש מופחת, שנקראת גם ספריית 'כניסה באמצעות חשבון Google', מומלץ מאוד לעבור ל-GIS, כי לא ברור אם תהיה תמיכה ב-GSIv2 בעתיד.

  5. הגשת בקשה לעיכוב בניסוי שהוצאה משימוש. ב-Chrome מציעים תקופת ניסיון להוצאה משימוש כדי לאפשר לדחות את ההשפעות של ההוצאה משימוש של קובצי Cookie של צד שלישי בתרחישי שימוש שאינם קשורים לפרסום. אם הבקשה תאושר, תקבלו אסימון שתוכלו להשתמש בו בתוסף כדי להמשיך להפעיל קובצי cookie של צד שלישי במקור שלכם עד שנת 2024, בזמן ההעברה לפתרון לטווח ארוך כמו SAA. אחרי ששולחים את הבקשה, צריך לספק מזהה באג או קישור לדוח על שגיאה. הצוות שלנו כבר דיווח על הבעיה הזו לגבי התוספים ל-Classroom, ואפשר לשלוח את הבאג הזה.