Ce guide vous aide à comprendre l'impact et les modifications nécessaires apportées à votre module complémentaire suite à l'abandon de la prise en charge des cookies tiers par Chrome.
Présentation
Le 4 janvier 2024, Chrome a lancé la protection contre le suivi, qui limite par défaut l'accès des sites Web aux cookies tiers à 1% des utilisateurs. Chrome prévoit d'abandonner complètement les cookies tiers début 2025.
Au moins deux parcours utilisateur sont affectés dans les modules complémentaires Classroom:
- Flux d'authentification unique (SSO) Google
- Lancement de nouveaux onglets pour les utilisateurs
SSO Google
Lors du flux d'authentification unique Google, les utilisateurs sont redirigés vers une boîte de dialogue pour se connecter à leur compte Google et donner leur autorisation au partage de données.
Figure 1. Visualisation des trois différents contextes de cookie lors de l'authentification unique à partir d'un iframe: (1) l'application Classroom de niveau supérieur, (2) l'iframe intégré tiers (DavidPuzzle sur localhost dans ce cas) et (3) la boîte de dialogue OAuth de niveau supérieur.
Dans une implémentation typique de module complémentaire, un cookie de session est défini à la fin de ce processus de connexion. L'iFrame du module complémentaire, qui se trouve dans un contexte intégré, est réactivé, avec le cookie de session, ce qui permet à l'utilisateur d'accéder à sa session authentifiée. Toutefois, lorsque les cookies tiers sont désactivés, les sites dans un contexte intégré, comme les iFrames de modules complémentaires, ne peuvent pas accéder aux cookies de leurs contextes de premier niveau respectifs. Pour les modules complémentaires Classroom, l'utilisateur ne peut pas accéder à sa session authentifiée et se retrouve dans une boucle de connexion.
Pour les implémentations qui définissent le cookie de session dans le contexte de l'iFrame intégré, ce problème peut être atténué par l'API CHIPS, qui permet aux sites intégrés de définir des cookies partitionnés et d'y accéder (cookies à la fois sur l'intégrateur et sur le domaine intégré). Toutefois, les implémentations qui définissent le cookie de session dans le contexte de niveau supérieur de la boîte de dialogue de connexion ne peuvent pas accéder au cookie non partitionné dans l'iFrame, ce qui empêche la connexion.
Nouveaux onglets
Pour des raisons similaires, si un utilisateur possède une session authentifiée par cookie dans un iFrame complémentaire et que l'iFrame lance l'utilisateur dans un nouvel onglet de premier niveau pour une activité, l'onglet de premier niveau ne peut pas accéder au cookie de la session partitionnée à partir de l'iFrame. Cela empêche l'état de la session d'iframe de persister dans l'activité du nouvel onglet et peut forcer l'utilisateur à se reconnecter dans le nouvel onglet, par exemple. L'API CHIPS ne peut pas résoudre ce problème, par conception ; les cookies d'iframe partitionnés sont inaccessibles dans un contexte de premier niveau.
Actions des développeurs
Vous devez prendre certaines mesures pour vous assurer que votre module complémentaire continue de fonctionner comme prévu à mesure que Chrome abandonnera les cookies tiers.
- Auditez l'utilisation des cookies tiers dans les critical user journeys de votre module complémentaire. Plus précisément, testez avec les cookies tiers désactivés pour évaluer l'impact sur votre implémentation spécifique.
Explorer l'API Storage Access Pour toutes les implémentations de modules complémentaires, nous vous recommandons d'explorer l'API Storage Access (SAA). SAA permet aux iFrames d'accéder à leurs cookies en dehors du contexte de l'iFrame. La SAA est disponible dans Chrome dès aujourd'hui et est compatible avec l'application Classroom.
Activez FedCM. De plus, si vous utilisez GIS, la bibliothèque Se connecter avec Google, l'équipe Identity vous recommande d'activer FedCM. Cela ne remplace pas les fonctionnalités des cookies tiers, mais elles seront à terme requises dans les SIG dans le cadre de l'abandon des cookies tiers. FedCM est actuellement disponible dans Chrome et pris en charge dans Classroom, mais son comportement et ses fonctionnalités sont encore en cours de développement et peuvent faire l'objet de commentaires.
Migrer vers un SIG Si vous utilisez la bibliothèque GSIv2 obsolète, également appelée bibliothèque Google Sign-In, nous vous recommandons vivement de migrer vers GIS, car la compatibilité avec GSIv2 à l'avenir n'est pas claire.
Demander un délai d'essai pour l'abandon Chrome propose une évaluation avant arrêt pour permettre aux cas d'utilisation non publicitaires de retarder les effets de l'abandon des cookies tiers. Si vous êtes accepté, vous recevrez un jeton que vous pourrez utiliser dans votre module complémentaire afin de maintenir les cookies tiers activés pour votre origine jusqu'en 2024, tout en migrant vers une solution à long terme comme SAA. Après avoir envoyé votre demande, vous serez invité à fournir un ID de bug ou un lien pour un rapport de plantage. Notre équipe a déjà signalé ce problème pour les modules complémentaires Classroom. Vous pouvez nous envoyer ce bug.