Se il tuo sito utilizza cookie di terze parti, è il momento di intervenire man mano che ci avviciniamo al loro ritiro. Per facilitare i test, a partire dal 4 gennaio 2024 Chrome ha limitato i cookie di terze parti per l'1% degli utenti. A partire dal terzo trimestre del 2024, Chrome ha in programma di estendere le limitazioni relative ai cookie di terze parti al 100% degli utenti, tenendo conto di eventuali altri dubbi in materia di concorrenza della Competition and Markets Authority del Regno Unito.
L'obiettivo di Privacy Sandbox è ridurre il monitoraggio tra siti continuando allo stesso tempo ad attivare la funzionalità che mantiene i contenuti e i servizi online liberamente accessibili a tutti. Il ritiro e la rimozione dei cookie di terze parti racchiude questa sfida, poiché consentono di abilitare funzionalità fondamentali per l'accesso, la protezione antifrode, la pubblicità e, in generale, la possibilità di incorporare contenuti avanzati di terze parti nei tuoi siti, ma allo stesso tempo sono anche i fattori chiave del monitoraggio tra siti.
Nel nostro importante traguardo precedente, abbiamo lanciato una serie di API che offrono un'alternativa allo status quo odierno incentrata sulla privacy per casi d'uso come identità, pubblicità e rilevamento di attività fraudolente. Con delle alternative, ora possiamo cominciare a eliminare gradualmente i cookie di terze parti.
In questa serie di conto alla rovescia dei cookie, ti illustreremo le tempistiche e le azioni immediate che puoi intraprendere per assicurarti che i tuoi siti siano preparati.
1% di ritiro dei cookie di terze parti e test agevolati da Chrome
Nella cronologia della privacysandbox.com puoi vedere due traguardi raggiunti nel quarto trimestre del 2023 e nel primo trimestre del 2024, nell'ambito delle modalità di test agevolate da Chrome. Questi test sono pensati principalmente per le organizzazioni che testano le API di misurazione e pertinenza di Privacy Sandbox, ma nell'ambito di questo processo disattiveremo i cookie di terze parti per l'1% degli utenti della versione stabile di Chrome.
Ciò significa che, dall'inizio del 2024, puoi aspettarti di vedere un aumento della percentuale di utenti di Chrome sul tuo sito con i cookie di terze parti disabilitati, anche se non partecipi attivamente ai test agevolati da Chrome. Questo periodo di test continua fino al terzo trimestre del 2024 quando, dopo la consulenza con la CMA e, fatti salvi eventuali problemi di concorrenza, prevediamo di iniziare a disabilitare i cookie di terze parti per tutti gli utenti di Chrome.
Preparati al ritiro graduale dei cookie di terze parti
Abbiamo suddiviso la procedura in questi passaggi chiave, con i dettagli di seguito, per assicurarci che il tuo sito sia pronto per l'esecuzione senza cookie di terze parti:
- Controlla l'utilizzo dei cookie di terze parti.
- Esegui un test per rilevare eventuali malfunzionamenti.
- Per i cookie cross-site che memorizzano dati per singoli siti, come un incorporamento, prendi in considerazione
Partitioned
con CHIPS. - Per i cookie cross-site relativi a un piccolo gruppo di siti collegati in modo significativo, prendi in considerazione gli insiemi di siti web correlati.
- Per altri casi d'uso dei cookie di terze parti, esegui la migrazione alle API web pertinenti.
1. Controlla l'utilizzo dei cookie di terze parti
I cookie di terze parti possono essere identificati dal valore SameSite=None
. Devi cercare nel codice le istanze in cui imposti l'attributo SameSite
su questo valore. Se in passato hai apportato modifiche per aggiungere SameSite=None
ai tuoi cookie intorno al 2020, queste modifiche potrebbero rappresentare un buon punto di partenza.
Chrome DevTools
Il riquadro Network (Rete) di Chrome DevTools mostra i cookie impostati e inviati nelle richieste. Nel riquadro dell'applicazione puoi vedere l'intestazione Cookie sotto Archiviazione. Puoi sfogliare i cookie memorizzati per ogni sito a cui si accede durante il caricamento pagina. Puoi ordinare in base alla colonna SameSite
per raggruppare tutti i cookie None
.
A partire da Chrome 118, la scheda Problemi di DevTools mostra il problema di modifica che provoca un errore, "Il cookie inviato in un contesto tra siti verrà bloccato nelle future versioni di Chrome". Il problema elenca i cookie potenzialmente interessati per la pagina corrente.
Privacy Sandbox Analysis Tool (PSAT)
Inoltre, abbiamo creato Privacy Sandbox Analysis Tool (PSAT), un'estensione DevTools per facilitare l'analisi dell'utilizzo dei cookie durante le sessioni di navigazione. In questo modo vengono forniti percorsi di debug per i cookie e le funzionalità di Privacy Sandbox, con punti di accesso per scoprire di più sull'iniziativa Privacy Sandbox.
L'estensione completa DevTools con funzionalità specializzate per l'analisi e il debug degli scenari relativi al ritiro dei cookie di terze parti e all'adozione di nuove alternative incentrate sulla tutela della privacy.
Puoi scaricare l'estensione dal Chrome Web Store o accedere al repository e al wiki di Privacy Sandbox Analysis Tool.
Controllare le terze parti che utilizzano i cookie
Se identifichi cookie impostati da terze parti, dovresti verificare con questi fornitori se hanno in programma la graduale eliminazione dei cookie di terze parti. Ad esempio, potresti dover eseguire l'upgrade di una versione della libreria che stai utilizzando, modificare un'opzione di configurazione nel servizio o non intervenire se la terza parte gestisce in autonomia le modifiche necessarie.
2. Test per rottura
Puoi avviare Chrome utilizzando il flag della riga di comando --test-third-party-cookie-phaseout
oppure, da Chrome 118, abilitare chrome://flags/#test-third-party-cookie-phaseout
. In questo modo, Chrome verrà impostato in modo da bloccare i cookie di terze parti e garantire che le nuove funzionalità e le nuove mitigazioni siano attive per simulare al meglio lo stato dopo l'eliminazione graduale.
Puoi anche provare a navigare con i cookie di terze parti bloccati tramite chrome://settings/cookies
, ma tieni presente che il flag garantisce l'attivazione anche della funzionalità nuova e aggiornata. Il blocco dei cookie di terze parti è un buon approccio per rilevare i problemi, ma non necessariamente verificare se li hai risolti.
Se mantieni una suite di test attiva per i tuoi siti, dovresti eseguire due esecuzioni affiancate: una con Chrome con le impostazioni abituali e l'altra con la stessa versione di Chrome lanciata con il flag --test-third-party-cookie-phaseout
. Eventuali errori di test nella seconda esecuzione e non nella prima sono ottimi candidati per individuare le dipendenze dei cookie di terze parti. Assicurati di segnalare i problemi riscontrati.
Dopo aver identificato i cookie che presentano problemi e aver compreso i casi d'uso che ne fanno, puoi utilizzare le seguenti opzioni per scegliere la soluzione necessaria.
3. Utilizza i cookie Partitioned
con i CHIPS
Se il tuo cookie di terze parti viene utilizzato in un contesto incorporato 1:1 con il sito di primo livello, potresti prendere in considerazione l'utilizzo dell'attributo Partitioned
come parte di Cookie che hanno uno stato partizionato indipendente (CHIPS) per consentire l'accesso tra siti con un cookie separato utilizzato per ogni sito.
Per implementare CHIPS, aggiungi l'attributo Partitioned
all'intestazione Set-Cookie
:
Impostando Partitioned
, il sito accetta la memorizzazione del cookie in un jar separato di cookie partizionato per sito di primo livello. Nell'esempio precedente, il cookie proviene da store-finder.site
, che ospita una mappa dei negozi che consente a un utente di salvare il proprio negozio preferito. Se utilizzi CHIPS, quando brand-a.site
incorpora store-finder.site
, il valore del cookie fav_store
è 123
. Quando brand-b.site
incorpora anche store-finder.site
, imposta e invia la propria istanza partizionata del cookie fav_store
, ad esempio con valore 456
.
Ciò significa che i servizi incorporati possono comunque salvare lo stato, ma non hanno uno spazio di archiviazione tra siti condiviso che consentirebbe il monitoraggio tra siti.
Potenziali casi d'uso: incorporamenti di chat di terze parti, incorporamenti di mappe di terze parti, incorporamenti di pagamenti di terze parti, bilanciamento del carico CDN di sottorisorse, fornitori di CMS headless, domini sandbox per la pubblicazione di contenuti utente non attendibili, CDN di terze parti che utilizzano cookie per il controllo degli accessi, chiamate API di terze parti che richiedono cookie nelle richieste, annunci incorporati con ambito a livello di publisher.
4. Utilizza l'API Storage Access e gli insiemi di siti web correlati
Se il tuo cookie di terze parti viene utilizzato solo su un numero limitato di siti correlati, potresti prendere in considerazione l'utilizzo di insiemi di siti web correlati (RWS) per consentire l'accesso tra siti a quel cookie nel contesto dei siti definiti.
Per implementare RWS, dovrai definire e inviare il gruppo di siti per l'insieme. Per garantire che i siti siano correlati in modo significativo, il criterio per un insieme valido richiede il raggruppamento di questi siti in base a: siti associati con una relazione visibile (ad es. varianti dell'offerta di prodotti di un'azienda), domini di servizio (ad es. API, CDN) o domini con codice paese (ad es. *.uk, *.jp).
I siti possono utilizzare l'API Storage Access per richiedere l'accesso ai cookie tra siti mediante requestStorageAccess()
o per delegare l'accesso utilizzando requestStorageAccessFor()
. Quando i siti si trovano all'interno dello stesso insieme, il browser concede automaticamente l'accesso e saranno disponibili cookie tra siti.
Ciò significa che i gruppi di siti correlati possono comunque fare uso dei cookie cross-site in un contesto limitato, ma non rischiano di condividere i cookie di terze parti tra siti non correlati in un modo che consentirebbe il monitoraggio tra siti.
Potenziali casi d'uso: domini specifici per le app, domini specifici di brand, domini specifici per paese, domini sandbox per la pubblicazione di contenuti utente non attendibili, domini di servizio per API, CDN.
5. Esegui la migrazione alle API web pertinenti
CHIPS e RWS consentono tipi specifici di accesso ai cookie tra siti rispettando la privacy dell'utente, tuttavia gli altri casi d'uso per i cookie di terze parti devono migrare verso alternative incentrate sulla privacy.
Privacy Sandbox fornisce una gamma di API realizzate appositamente per casi d'uso specifici senza bisogno di cookie di terze parti:
- La gestione delle credenziali federate (FedCM) abilita servizi di identità federati che consentono agli utenti di accedere a siti e servizi.
- I token di stato privati attivano le attività antifrode e antispam tramite lo scambio di informazioni limitate e non identificative tra siti.
- Topics consente la pubblicità basata sugli interessi e la personalizzazione dei contenuti.
- Protected Audience attiva i segmenti di pubblico per il remarketing e personalizzati.
- Attribution Reporting consente di misurare le impressioni degli annunci e le conversioni.
Inoltre, Chrome supporta l'API Storage Access (SAA) per l'utilizzo negli iframe con interazione dell'utente. L'impostazione SAA è già supportata in Edge, Firefox e Safari. Riteniamo che sia un buon equilibrio per mantenere la privacy dell'utente continuando allo stesso tempo a consentire funzionalità cross-site critiche con il vantaggio della compatibilità tra browser.
Tieni presente che l'API Storage Access mostrerà agli utenti una richiesta di autorizzazione del browser. Per offrire un'esperienza utente ottimale, comunicheremo all'utente solo se il sito che chiama requestStorageAccess()
ha interagito con la pagina incorporata e in precedenza ha visitato il sito di terze parti in un contesto di primo livello. Una concessione approvata consentirà l'accesso ai cookie tra siti per quel sito per 30 giorni. I casi d'uso potenziali sono incorporamenti tra siti autenticati, come widget di commenti sui social network, fornitori di servizi di pagamento, servizi video in abbonamento.
Se continui a riscontrare casi d'uso di cookie di terze parti non coperti da queste opzioni, devi segnalarci il problema e valutare se esistono implementazioni alternative che non dipendono dalla funzionalità in grado di attivare il monitoraggio tra siti.
Supporto per le aziende
Chrome gestito dall'azienda ha sempre requisiti unici rispetto all'utilizzo generale del web e ci assicureremo che gli amministratori aziendali dispongano di controlli appropriati sul ritiro dei cookie di terze parti nei loro browser.
Come per la maggior parte degli esperimenti su Chrome, la maggior parte degli utenti finali aziendali verrà esclusa automaticamente dal ritiro dell'1% dei cookie di terze parti. Per i pochi che potrebbero essere interessati, gli amministratori aziendali possono impostare il criterio BlockThirdPartyCookies su false
per disattivare i propri browser gestiti prima dell'esperimento e concedere il tempo per apportare le modifiche necessarie a non fare affidamento su questo criterio o sui cookie di terze parti. Per saperne di più, leggi le note di rilascio di Chrome Enterprise.
Il nostro obiettivo è quello di fornire ulteriori report e strumenti per identificare l'utilizzo dei cookie di terze parti sui siti aziendali. Abbiamo meno visibilità dei browser aziendali nelle metriche di utilizzo di Chrome, il che significa che è particolarmente importante per le aziende testare i malfunzionamenti e segnalarci i problemi.
Le integrazioni SaaS aziendali potranno utilizzare la prova relativa al ritiro di terze parti descritta di seguito.
Richiedi più tempo per la prova relativa al ritiro di terze parti per i casi d'uso non pubblicitari
Come per molti altri ritiri precedenti sul web, comprendiamo che ci siano casi in cui i siti hanno bisogno di più tempo per apportare le modifiche necessarie. Quando si tratta di cambiamenti relativi alla privacy come questo, dobbiamo anche bilanciare questo aspetto con il miglior interesse delle persone che utilizzano il web.
Abbiamo in programma di offrire una prova relativa al ritiro per fornire ai siti o ai servizi utilizzati in un contesto intersito la possibilità di continuare ad accedere ai cookie di terze parti per un periodo di tempo limitato.
Condivideremo ulteriori dettagli man mano che i piani progrediscono, ma inizieremo con alcuni principi chiave:
- Si tratterà di una prova relativa al ritiro di terze parti che consentirà agli incorporamenti di terze parti di attivare l'opzione per continuare temporaneamente a utilizzare i cookie di terze parti.
- La registrazione richiederà una procedura di revisione per garantire che la prova relativa al ritiro venga utilizzata solo per le funzioni che hanno un grande impatto sui percorsi critici degli utenti e le registrazioni verranno prese in considerazione caso per caso.
- Non interferirà con i test della pubblicità pianificati per l'inizio del 2024, come descritto dalla CMA. Di conseguenza, i casi d'uso relativi alla pubblicità non verranno presi in considerazione per la prova relativa al ritiro.
Passaggio successivo: questo mese pubblicheremo un intent nella mailing list di blink-dev con ulteriori dettagli e continueremo ad aggiornare la documentazione qui.
Proteggere le esperienze utente critiche
I cookie cross-site sono stati una parte fondamentale del web da oltre un quarto di secolo. Ogni modifica, specialmente una modifica che provoca un errore, diventa un processo complesso che richiede un approccio coordinato e incrementale. Mentre gli attributi aggiuntivi dei cookie e le nuove API incentrate sulla privacy tengono conto della maggior parte dei casi d'uso, ci sono scenari specifici in cui vogliamo assicurarci di non interrompere l'esperienza delle persone che utilizzano quei siti.
Principalmente si tratta di flussi di autenticazione o pagamento in cui un sito di primo livello apre una finestra popup o reindirizza a un sito di terze parti per un'operazione e poi torna al sito di primo livello, utilizzando un cookie durante il percorso di ritorno o nel contesto incorporato. Intendiamo fornire una serie temporanea di euristiche per identificare questi scenari e consentire i cookie di terze parti per un periodo di tempo limitato, offrendo ai siti una finestra più lunga per implementare le modifiche necessarie.
Passaggio successivo: nel corso del mese pubblicheremo un intent nella mailing list di blink-dev con ulteriori dettagli e continueremo ad aggiornare la documentazione qui.
Segnalare problemi relativi ai cookie di terze parti e richiedere assistenza
Vogliamo assicurarci di acquisire i vari scenari in cui i siti non funzionano senza cookie di terze parti per assicurarci di fornire indicazioni, strumenti e funzionalità per consentire ai siti di migrare dalle dipendenze dei cookie di terze parti. Se il tuo sito o un servizio da cui dipendono malfunzionamenti con i cookie di terze parti disabilitati, puoi inviarlo al nostro strumento di monitoraggio dei malfunzionamenti all'indirizzo goo.gle/report-3pc-broken.
Se hai domande sul processo di ritiro e sul piano di Chrome, puoi segnalare un nuovo problema utilizzando l'opzione "Ritiro dei cookie di terze parti" nel nostro repository di assistenza per gli sviluppatori.