אם באתר שלכם נעשה שימוש בקובצי Cookie של צדדים שלישיים, הגיע הזמן לנקוט פעולה לקראת ההוצאה משימוש שלהם. כדי להקל על ביצוע הבדיקות, החל מ-4 בינואר 2024, קובצי Cookie של צד שלישי הגבילו את הגישה ל-1% מהמשתמשים ב-Chrome. ב-Chrome מתכננים להגדיל את ההגבלות על קובצי Cookie של צד שלישי ל-100% מהמשתמשים החל מהרבעון השלישי של שנת 2024, בכפוף לטיפול בכל שאר הבעיות שקשורות לתחרות שהועלו על ידי רשות התחרות והשווקים (Competition and Markets Authority) בבריטניה.
המטרה שלנו בארגז החול לפרטיות היא לצמצם את המעקב באתרים שונים, ועדיין לאפשר את הפונקציונליות שמאפשרת לכולם לגשת בחינם לתוכן ולשירותים אונליין. הוצאה משימוש והסרה של קובצי cookie של צד שלישי כוללת את האתגר, כי הם מאפשרים פונקציונליות חיונית בכניסה לחשבון, בהגנה מפני הונאה ובפרסום, ובדרך כלל היכולת להטמיע תוכן עשיר של צד שלישי באתרים שלכם. עם זאת, הם גם הגורמים העיקריים למעקב באתרים שונים.
באבן הדרך המשמעותית הקודמת שלנו, השקנו מגוון של ממשקי API שמספקים חלופה שמתמקדת בשמירה על הפרטיות, בהשוואה לסטטוס קוו שמשמש כיום לתרחישים לדוגמה כמו זיהוי, פרסום וזיהוי הונאות. עכשיו יש חלופות, ועכשיו אנחנו יכולים להתחיל להוציא משימוש בהדרגה קובצי Cookie של צד שלישי.
בסדרה הזו של ספירה לאחור בנושא קובצי cookie, נציג לכם את לוח הזמנים ואת הפעולות המיידיות שתוכלו לבצע כדי להבטיח שהאתרים שלכם יהיו מוכנים.
1% הוצאה משימוש של קובצי Cookie של צד שלישי ובדיקה שמתבצעת באמצעות Chrome
בציר הזמן שלprivacysandbox.com אפשר לראות שתי אבני דרך ברבעון הרביעי של שנת 2023 וברבעון הראשון של שנת 2024, כחלק ממצבי בדיקה בסיוע Chrome. הבדיקות האלה מיועדות בעיקר לארגונים שבודקים את ממשקי ה-API של המדידה והרלוונטיות של ארגז החול לפרטיות. עם זאת, כחלק מהבדיקה הזו נשבית את קובצי ה-cookie של צד שלישי אצל 1% מהמשתמשים היציבים ב-Chrome.
פירוש הדבר הוא שהחל מתחילת 2024, צפוי להיות גידול במספר משתמשי Chrome באתר שלכם שקובצי Cookie של צד שלישי מושבתים, גם אם לא תשתתפו באופן פעיל בבדיקה שמתבצעת באמצעות Chrome. תקופת הבדיקות הזו תמשיך גם ברבעון השלישי של 2024. במועד הזה, לאחר התייעצות עם ה-CMA, ובכפוף לפתרון בעיות כלשהן שקשורות לתחרות, אנחנו מתכננים להתחיל להשבית קובצי Cookie של צדדים שלישיים לכל משתמשי Chrome.
מתכוננים להוצאה משימוש ההדרגתית של קובצי Cookie של צד שלישי
פירטנו את התהליך לפי השלבים החשובים הבאים, והמפורטים בהמשך, כדי לוודא שהאתר שלכם מוכן להפעלת האתר ללא קובצי Cookie של צד שלישי:
- בדיקת השימוש בקובצי cookie של צד שלישי.
- בודקים אם יש תקלות.
- אם מדובר בקובצי Cookie מאתרים שונים שמאחסנים נתונים בכל אתר, למשל הטמעה, כדאי לשקול
Partitioned
עם CHIPS. - אם אתם רוצים להשתמש בקובצי Cookie באתרים שונים בקבוצה קטנה של אתרים שמקושרים בצורה משמעותית, כדאי להשתמש בקבוצות של אתרים קשורים.
- לתרחישים אחרים לדוגמה לשימוש בקובצי cookie של צד שלישי, צריך לעבור לממשקי ה-API הרלוונטיים באינטרנט.
1. בדיקת השימוש בקובצי cookie של צד שלישי
ניתן לזהות קובצי Cookie של צד שלישי לפי הערך שלהם ב-SameSite=None
. עליכם לחפש בקוד מקרים שבהם הגדרתם את המאפיין SameSite
לערך הזה. אם ביצעת בעבר שינויים כדי להוסיף את SameSite=None
לקובצי ה-cookie בסביבות 2020, השינויים האלה עשויים לשמש כנקודת התחלה טובה.
כלי פיתוח ל-Chrome
בחלונית 'רשת כלי הפיתוח ל-Chrome' מוצגים קובצי cookie שהוגדרו ונשלחו בבקשות. בחלונית 'אפליקציות' אפשר לראות את הכותרת 'קובצי Cookie' בקטע 'אחסון'. אתם יכולים לעיין בקובצי ה-cookie שנשמרו עבור כל אתר שאליו ניגשו כחלק מטעינת הדף. אפשר למיין לפי העמודה SameSite
כדי לקבץ את כל קובצי ה-cookie של None
.
החל מגרסה 118 של Chrome, בכרטיסייה 'בעיות בכלי הפיתוח' מוצגת הבעיה של שינוי התוכנה שעלול לגרום לכשל, "קובצי cookie שנשלחים בהקשר של אתרים שונים ייחסמו בגרסאות עתידיות של Chrome". בבעיה הזו רשומים קובצי ה-Cookie בדף הנוכחי שעשויים להיות מושפעים מכך.
כלי הניתוח של 'ארגז החול לפרטיות' (PSAT)
בנוסף, פיתחנו את כלי הניתוח של 'ארגז החול לפרטיות' (PSAT) – תוסף של כלי הפיתוח שמאפשר לנתח את השימוש בקובצי cookie במהלך סשנים של גלישה. כך יש דרכים לניפוי באגים בתכונות של ארגז החול לפרטיות ונקודות גישה, כדי לקבל מידע נוסף על היוזמה 'ארגז החול לפרטיות'.
התוסף משלים לכלי הפיתוח יכולות מיוחדות לניתוח ולניפוי באגים של תרחישים שקשורים להוצאה משימוש של קובצי Cookie של צד שלישי ולאמוץ חלופות חדשות לשמירה על הפרטיות.
אפשר להוריד את התוסף מחנות האינטרנט של Chrome או להיכנס למאגר ה-PSAT ול-wiki.
בדיקת צדדים שלישיים שמשתמשים בקובצי cookie
אם אתם מזהים קובצי Cookie שהוגדרו על ידי צדדים שלישיים, עליכם לבדוק מול הספקים האלה אם יש להם תוכניות להפסקת השימוש בקובצי Cookie של צד שלישי. לדוגמה, יכול להיות שתצטרכו לשדרג גרסה של ספרייה שאתם משתמשים בה או לשנות הגדרות אישיות בשירות, או שלא תצטרכו לבצע פעולות במקרה שהצד השלישי מבצע בעצמו את השינויים הנדרשים.
2. בדיקת תקלות
אפשר להפעיל את Chrome באמצעות דגל שורת הפקודה --test-third-party-cookie-phaseout
, או מ-Chrome מגרסה 118, להפעיל את chrome://flags/#test-third-party-cookie-phaseout
. הפעולה הזו תגדיר ב-Chrome חסימה של קובצי cookie של צד שלישי ותוודא שהפונקציות החדשות והפתרונות החדשים יפעלו, כדי לדמות את המצב בצורה הטובה ביותר אחרי ההשבתה ההדרגתית.
אפשר גם לנסות לגלוש עם קובצי Cookie של צד שלישי שחסומים דרך chrome://settings/cookies
, אבל חשוב לזכור שהדגל מבטיח שגם הפונקציונליות החדשה והמעודכנת תופעל. חסימת קובצי cookie של צד שלישי היא שיטה טובה לזהות בעיות, אבל לא בהכרח לאמת שפתרתם את הבעיות.
אם יש לכם חבילת בדיקות פעילה לאתרים שלכם, עליכם לבצע שתי הפעלות זו לצד זו: אחת עם Chrome בהגדרות הרגילות והשנייה עם אותה גרסת Chrome שמופעלת עם הדגל --test-third-party-cookie-phaseout
. כל כשל בבדיקה השנייה ולא בהרצה הראשונה הוא מועמדים טובים שכדאי לבדוק אם יש תלות בקובצי cookie של צד שלישי. חשוב לדווח על הבעיות שמצאתם.
לאחר שתזהו את קובצי ה-Cookie עם בעיות ותבינו את התרחישים לדוגמה עבורם, תוכלו לפעול לפי האפשרויות הבאות ולבחור את הפתרון הדרוש.
3. שימוש בקובצי cookie מסוג Partitioned
עם CHIPS
במקרים שבהם נעשה שימוש בקובץ Cookie של צד שלישי בהקשר מוטמע אחד על אחד עם האתר ברמה העליונה, כדאי להשתמש במאפיין Partitioned
כחלק מ'קובצי Cookie לאחר חלוקה עצמאית למחיצות' (CHIPS) כדי לאפשר גישה בין אתרים באמצעות קובץ Cookie נפרד לכל אתר.
כדי להטמיע CHIPS, צריך להוסיף את המאפיין Partitioned
לכותרת Set-Cookie
:
על ידי הגדרה של Partitioned
, האתר מביע הסכמה לשמירת קובץ ה-cookie בצנצנת קובצי cookie נפרדת, המחולקת למחיצות לפי האתר ברמה העליונה. בדוגמה שלמעלה, קובץ ה-cookie מגיע מ-store-finder.site
, שמארח מפה של חנויות שמאפשרת למשתמש לשמור את החנות המועדפת עליו. באמצעות CHIPS, כאשר brand-a.site
מטמיע את store-finder.site
, הערך של קובץ ה-cookie fav_store
הוא 123
. לאחר מכן, כש-brand-b.site
יטמיע גם את store-finder.site
, הוא יגדיר וישלח מופע משלו של קובץ ה-cookie fav_store
, המחולק למחיצות, לדוגמה עם הערך 456
.
המשמעות היא ששירותים מוטמעים עדיין יכולים לשמור את המצב, אבל אין להם אחסון משותף באתרים שונים שמאפשר מעקב באתרים שונים.
תרחישים לדוגמה לדוגמה: הטמעות צ'אט של צד שלישי, הטמעות מפות של צד שלישי, הטמעות תשלומים של צד שלישי, איזון עומסים ב-CDN באמצעות משאבי משנה, ספקים של מערכות ניהול תוכן ללא GUI, דומיינים של ארגז חול להצגת תוכן לא מהימן של משתמשים, רשתות CDN של צד שלישי שמשתמשים בקובצי cookie לבקרת גישה, קריאות API של צד שלישי שדורשות קובצי cookie בבקשות, מודעות מוטמעות עם רמת מצב לכל בעל תוכן דיגיטלי.
4. שימוש ב-Storage Access API ובקבוצות של אתרים קשורים
במקרים שבהם קובץ ה-cookie של צד שלישי נמצא בשימוש רק במספר קטן של אתרים קשורים, כדאי להשתמש בקבוצות של אתרים קשורים (RWS) כדי לאפשר גישה בין אתרים שונים לקובץ ה-cookie הזה בהקשר של האתרים המוגדרים האלה.
כדי להטמיע את RWS, צריך להגדיר ולשלוח את קבוצת האתרים עבור הקבוצה. כדי לוודא שיש קשר הדוק בין האתרים, המדיניות שחלה על קבוצה תקינה מחייבת לקבץ את האתרים האלה לפי: אתרים משויכים שיש להם קשר גלוי זה לזה (למשל, גרסאות שונות של היצע המוצרים של החברה), דומיינים של שירותים (למשל ממשקי API , CDN) או דומיינים עם קוד מדינה (למשל *.uk, *.jp).
אתרים יכולים להשתמש ב-Storage Access API כדי לבקש גישה לקובצי Cookie באתרים שונים באמצעות requestStorageAccess()
, או להאציל גישה באמצעות requestStorageAccessFor()
. כשאתרים נמצאים באותה קבוצה, הדפדפן יעניק גישה באופן אוטומטי וקובצי Cookie מאתרים שונים יהיו זמינים.
המשמעות היא שקבוצות של אתרים קשורים עדיין יכולות להשתמש בקובצי cookie מאתרים שונים בהקשר מוגבל, אבל אין להסתכן בשיתוף קובצי cookie של צד שלישי באתרים לא קשורים באופן שיאפשר מעקב באתרים שונים.
תרחישים לדוגמה אפשריים: דומיינים ספציפיים לאפליקציה, דומיינים ספציפיים למותג, דומיינים ספציפיים למדינה, דומיינים של ארגז חול להצגת תוכן לא מהימן של משתמשים, דומיינים של שירותים לממשקי API, רשתות CDN.
5. מעבר לממשקי ה-API הרלוונטיים באינטרנט
CHIPS ו-RWS מאפשרים לסוגים ספציפיים של גישה לקובצי Cookie באתרים שונים תוך שמירה על פרטיות המשתמשים. עם זאת, בתרחישים אחרים לדוגמה של קובצי Cookie של צד שלישי צריך לעבור לחלופות שמתמקדות בפרטיות.
ארגז החול לפרטיות מספק מגוון של ממשקי API ייעודיים לתרחישים לדוגמה ספציפיים, ללא צורך בקובצי cookie של צד שלישי:
- בעזרת ניהול פרטי כניסה מאוחדים (FedCM), המשתמשים יכולים להיכנס לאתרים ולשירותים באמצעות שירותי זהות מאוחדים.
- אסימוני מצב פרטי מאפשרים העברה של מידע מוגבל ולא מאפשר זיהוי בין אתרים כדי למנוע הונאות וספאם.
- Topics מאפשר פרסום מבוסס-עניין והתאמה אישית של התוכן.
- Protected Audience מאפשר רימרקטינג וקהלים בהתאמה אישית.
- דוחות שיוך (Attribution) מאפשרים לכם למדוד את החשיפות וההמרות של המודעות.
בנוסף, Chrome תומך ב-Storage Access API (SAA) לשימוש ב-iframes עם אינטראקציה של משתמשים. SAA כבר נתמך ב-Edge, ב-Firefox וב-Safari. אנחנו מאמינים שזה איזון טוב לשמירה על פרטיות המשתמשים, ועדיין לאפשר פונקציונליות קריטית באתרים שונים עם היתרון של תאימות לדפדפנים.
חשוב לדעת ש-Storage Access API יציג למשתמשים בקשה להרשאת גישה לדפדפן. כדי לספק חוויית משתמש מיטבית, נשלח הודעה למשתמש רק אם לאתר ששולח קריאה ל-requestStorageAccess()
הייתה אינטראקציה עם הדף המוטמע וביקר בעבר באתר של הצד השלישי בהקשר ברמה העליונה. אישור הבקשה יאפשר גישה לקובצי cookie של אתרים שונים לאתר הזה למשך 30 יום. תרחישים לדוגמה פוטנציאליים הם הטמעות מאומתות בין אתרים, כגון ווידג'טים של תגובות מרשתות חברתיות, ספקי תשלום, שירותי וידאו מנויים.
אם עדיין יש לכם תרחישים לדוגמה של קובצי Cookie של צד שלישי שלא כלולים באפשרויות האלה, עליכם לדווח לנו על הבעיה ולבחון אם יש הטמעות חלופיות שלא תלויות בפונקציונליות שיכולה להפעיל מעקב באתרים שונים.
תמיכה לארגונים
ל-Chrome בניהול הארגון יש תמיד דרישות ייחודיות בהשוואה לשימוש כללי באינטרנט, ואנחנו נוודא שלאדמינים בארגון יהיו אמצעי בקרה מתאימים לגבי ההוצאה משימוש של קובצי cookie של צד שלישי בדפדפנים שלהם.
כמו ברוב הניסויים ב-Chrome, גם רוב משתמשי הקצה הארגוניים יוחרגו באופן אוטומטי מההוצאה משימוש של קובצי Cookie של צד שלישי בשיעור של 1%. ייתכן שאדמינים בארגון יכולים להגדיר את המדיניות שלBlock להתקני Cookie של צד שלישי לערך false
כדי לבטל את ההסכמה לדפדפנים המנוהלים שלהם לפני הניסוי, ולתת להם זמן לבצע את השינויים הדרושים כך שלא יסתמכו על המדיניות הזו או על קובצי Cookie של צד שלישי. מידע נוסף זמין בנתוני הגרסה של Chrome Enterprise.
אנחנו מתכוונים גם לספק דוחות וכלים נוספים שיעזרו לכם לזהות שימוש בקובצי Cookie של צד שלישי באתרים ארגוניים. אנחנו רואים פחות חשיפה של דפדפנים ארגוניים במדדי השימוש של Chrome, ולכן חשוב במיוחד שארגונים לבדוק אם יש תקלות ולדווח לנו על בעיות.
שילובי SaaS ארגוניים יוכלו להשתמש בתקופת הניסיון של צד שלישי שהוצאה משימוש, שמתוארת בהמשך.
בקשה לתוספת זמן במסגרת הניסיון בתכונה של צד שלישי שהוצאה משימוש בתרחישים שלא קשורים לפרסום
כמו בהרבה מקרים קודמים של הפסקת שימוש בשירות באינטרנט, אנחנו מבינים שלפעמים בעלי אתרים צריכים יותר זמן כדי לבצע את השינויים הנדרשים. כשמדובר בשינויים כאלה הקשורים לפרטיות, עלינו גם לאזן בין זה לבין האינטרסים של אנשים שמשתמשים באינטרנט.
אנחנו מתכננים להציע תקופת ניסיון להוצאה משימוש כדי לאפשר לאתרים או לשירותים שמשתמשים בהם בהקשר של אתרים שונים להירשם לקבלת גישה מתמשכת לקובצי cookie של צד שלישי לפרק זמן מוגבל.
נשתף פרטים נוספים ככל שהתוכניות מתפתחות, אבל אנחנו מתחילים עם כמה עקרונות מרכזיים:
- השירות יהיה ניסיון הוצאה משימוש של צד שלישי שיאפשר להטמעות של צד שלישי להביע הסכמה להמשיך להשתמש בקובצי Cookie של צד שלישי באופן זמני.
- לצורך הרשמה צריך לעבור תהליך בדיקה כדי לוודא שתקופת הניסיון בתכונה שהוצאה משימוש תשמש רק לפונקציות שמשפיעות באופן משמעותי על התהליכים החשובים שעוברים המשתמשים וההרשמות יטופלו על בסיס כל מקרה לגופו.
- השינוי לא יפריע לבדיקות הפרסום שמתוכננות לתחילת שנת 2024, כפי שמתואר ב-CMA. לכן, המשמעות היא שלא נביא בחשבון תרחישים לדוגמה של פרסום, במסגרת הניסיון בתכונה שהוצאה משימוש.
השלב הבא: נפרסם Intent ברשימת התפוצה של blink-dev עם פרטים נוספים החודש, ונמשיך לעדכן כאן את מסמכי התיעוד.
שמירה על חוויות משתמש קריטיות
קובצי Cookie בין אתרים הם חלק קריטי באינטרנט כבר יותר מרבע מאה. לכן כל שינוי, במיוחד שינוי תוכנה שעלול לגרום לכשל, הוא תהליך מורכב שמחייב גישה מתואמת ומצטברת. המאפיינים הנוספים של קובצי ה-cookie וממשקי ה-API החדשים שמתמקדים בשמירה על הפרטיות הם לרוב מקרי השימוש, אבל יש תרחישים ספציפיים שבהם אנחנו רוצים לוודא שחוויית השימוש של האנשים באתרים האלה לא תיפגע.
בעיקר תהליכי אימות או תשלום שבהם אתר ברמה העליונה פותח חלון קופץ או מפנה מחדש לאתר של צד שלישי לצורך פעולה ולאחר מכן חוזר לאתר ברמה העליונה, באמצעות קובץ cookie בתהליך החזרה הזה או בהקשר המוטמע. אנחנו מתכוונים לספק מערכת זמנית של היוריסטיקה כדי לזהות את התרחישים האלה ולאפשר שימוש בקובצי cookie של צד שלישי למשך פרק זמן מוגבל. כך, לאתרים יש פרק זמן ארוך יותר להטמעת השינויים הנדרשים.
השלב הבא: נפרסם Intent ברשימת התפוצה blink-dev עם פרטים נוספים החודש, ונמשיך לעדכן את המסמכים כאן.
דיווח על בעיות הקשורות לקובצי cookie של צד שלישי וקבלת עזרה
אנחנו רוצים לוודא שאנחנו מתעדים את התרחישים השונים שבהם אתרים מתנתקים בלי קובצי cookie של צד שלישי, כדי לוודא שסיפקנו הנחיות, כלים ופונקציונליות שיאפשרו לאתרים להפסיק את התלות בקובצי cookie של צד שלישי. אם יש תקלות באתר שלכם או בשירות שאתם מסתמכים עליו כשקובצי Cookie של צדדים שלישיים מושבתים, אתם יכולים לשלוח אותם לכלי המעקב אחרי תקלות בכתובת goo.gle/report-3pc-broken.
אם יש לכם שאלות לגבי תהליך ההוצאה משימוש והתוכנית של Chrome, אתם יכולים להעלות בעיה חדשה באמצעות 'ההוצאה משימוש של קובצי cookie של צד שלישי' במאגר התמיכה שלנו למפתחים.