Richiedere tempi di migrazione aggiuntivi con la prova del ritiro dei cookie di terze parti

di Gemini Advanced.

Per facilitare i test, Chrome ha limitato i cookie di terze parti per impostazione predefinita 1% di utenti di Chrome. Chrome prevede di estendere le limitazioni relative ai cookie di terze parti al 100% degli utenti T3 2024, fatta salva la risposta a eventuali questioni in sospeso in materia di concorrenza delle aziende del Regno Unito Competition and Markets Authority (CMA). Per una transizione più semplice di ritiro, offriamo un ritiro di terze parti prova che consente ai siti e ai servizi incorporati di richiedere tempo aggiuntivo per la migrazione alle dipendenze di cookie di terze parti per i casi d'uso non pubblicitari.

La registrazione a questa prova relativa al ritiro è iniziata nella settimana del 4 dicembre 2023. La prova relativa al ritiro inizierà a gennaio 2024 e terminerà il 27 dicembre 2024. Gli sviluppatori sono tenuti ad apportare le modifiche necessarie e i piani entro la data di fine della prova.

Siamo consapevoli che ci sia un breve periodo di tempo tra il ritiro registrazioni alla prova aperte e quando inizia il periodo dei test facilitati di Chrome bloccare l'1% dei cookie. Per far fronte a questi vincoli di tempo, Chrome offre una periodo di tolleranza per le origini partecipanti mentre lavorano per implementare il ritiro di prova. Durante il periodo di tolleranza, che si protrarrà fino al 30 giugno 2024, le origini registrate per la prova relativa al ritiro avranno accesso i cookie in Chrome anche se non hanno ancora eseguito il deployment dei token. Lo scopo di questo periodo di tolleranza consiste nel prevenire problemi di compatibilità web durante fase di transizione. Le origini partecipanti devono eseguire il deployment dei token di prova di deprecazione prima della fine del periodo di tolleranza.

Prove di ritiro

Le prove di ritiro sono un'opzione standard fornita da Chrome per consentire ai siti di registrati per avere altro tempo da dedicare alla migrazione dalla funzionalità legacy rimosso. Una prova relativa al ritiro è un tipo di origine Google Cloud, consente di riattivare temporaneamente una funzione.

Questa prova è per gli incorporamenti e i servizi che impostano cookie di terze parti e che soddisfano i criteri di idoneità definiti nella sezione che segue. In altre parole, se i tuoi elementi di incorporamento è la terza parte, puoi registrarti alla prova relativa al ritiro per riattivare temporaneamente i cookie di terze parti in tutti i contesti in cui o servizio. La prova si applica solo all'origine incorporata registrata e non l'intero dominio del sito di primo livello visitato dagli utenti.

Un esempio di iframe di terze parti/cross-site mostra una pagina incorporata da
https://embed.example/iframe.html su https://top.example e un
esempio di script di terze parti/cross-site che mostra uno script di
https://third-party.example/script.js incluso in https://top.example

I siti di primo livello che utilizzano terze parti che si basano sui cookie non devono registrati per questa prova relativa al ritiro. Devi controllare i cookie di terze parti utilizzate all'interno del tuo sito e contatta i fornitori di terze parti per assicurarti che sono stati preparati per il ritiro.

Criteri di idoneità e procedura di revisione

Questa prova relativa al ritiro è diversa dalle prove precedenti con l'introduzione di un processo di revisione e approvazione per la partecipazione. serve per trovare un equilibrio tra il miglioramento della privacy per le persone sul web e l'attivazione del e i servizi da cui dipendono per richiedere tempo aggiuntivo per la migrazione, se necessario.

I principi alla base di questa prova relativa al ritiro sono:

  • Conservazione delle funzionalità critiche per l'utente: questa prova relativa al ritiro è destinato a fornitori di terze parti che dimostrano un malfunzionamento dei percorsi degli utenti.
  • Limitazione del monitoraggio degli utenti: la prova relativa al ritiro non è destinata a supportare monitoraggio tra siti per scopi pubblicitari e, come tali, incorporamenti di terze parti e i servizi utilizzati per la pubblicità non sono idonei.

L'inidoneità dei casi d'uso in ambito pubblicitario aiuterà anche a garantire la fase di ritiro non interferisce con i test di settore pianificati per il l'inizio del 2024, come descritto dal team Concorrenza e mercati Autorità. Sono inclusi i domini correlati alla pubblicità utilizzati anche per scopi non pubblicitari scopi.

Inizialmente Chrome funzionerà con Disconnect.me, uno è leader nel settore della privacy su internet e implementa il tracker di Disconnetti. di protezione dei dati per identificare gli script e i domini classificati come pubblicità. Disconnetti è già utilizzato da altri browser per scopi simili sul web.

Applicheremo la seguente procedura per le richieste di registrazione:

  • Se l'origine di terze parti corrisponde a un dominio pubblicitario noto, inclusi se corrisponde a una voce nella sezione Pubblicità elenco, allora la richiesta di registrazione verrà rifiutata. In generale, le voci relative a l'elenco corrisponderà a tutti i sottodomini al di sotto dell'origine specificata. Alcune ma includono un elemento del percorso. Queste voci più specifiche corrispondano all'origine specificata, ma non ai sottodomini.
  • Devi fornire i passaggi per riprodurre un'esperienza insoddisfacente rivolta agli utenti. Nella in particolare, questa dovrebbe essere un'esperienza per l'utente che utilizza il dispositivo in cui viene memorizzato il cookie e non da un utente che esegue analisi successive delle e i dati di Google Cloud. Se non riusciamo a convalidare un'esperienza utente che non funziona, la registrazione verrà rifiutata.
  • In caso contrario, la richiesta di registrazione verrà approvata.
  • Se dichiari che un'origine è "simile" a un'applicazione precedentemente approvata, forniscono una descrizione del rapporto tra le origini.

Prevediamo di offrire una procedura di ricorso se l'origine che ha effettuato la registrazione ritiene di più informazioni potrebbero chiarire una decisione relativa alla recensione. Il registrante può richiedere presentare ricorso presentando di nuovo la domanda nella console di prova dell'origine. L'intento dei ricorsi è relativo alle richieste che sono state rifiutate a causa della mancanza delle informazioni richieste (bug di interruzione noto e/o passaggi di riproduzione di rottura) e/o se l'origine di registrazione ritiene di più informazioni potrebbero soddisfare questi requisiti per chiarire la decisione di una recensione.

Stiamo inoltre approvando casi d'uso anti-abuso e antifrode, dove possiamo prove a sostegno. Siamo lieti di ricevere feedback su come valutare meglio questi casi d'uso.

Richiedi la prova relativa al ritiro

Includi passaggi di riproduzione che il nostro team può utilizzare per verificare il funzionamento guasto. In alternativa, se è più semplice e/o la tua funzionalità è controllata da accesso o simili, puoi fornire un link a una registrazione dei passaggi riprodurre il problema utilizzando Chrome DevTools Registratore.

  1. Vai a Prova per cookie di terze parti Ritiro e fai clic su "Registrati".
  2. Per "Origine web", indica l'origine che gestisce la pagina incorporata o script.
  3. La corrispondenza di terze parti dipende da come devi fornire di accesso. Le opzioni sono spiegate più dettagliatamente in Aggiungere la prova di accesso.
    • Se fornisci il token in un'intestazione HTTP o in un meta tag in autonomia incorporate, non selezionare "Corrispondenza di terze parti".
    • Se stai inserendo il token con JavaScript in un altro sito, deve selezionare "Corrispondenza di terze parti".
    • Se devi eseguire entrambe le operazioni, dovrai effettuare registrazioni separate.
  4. Se ospiti contenuti di più siti in più sottodomini, controlla il "Ho bisogno di un token per la corrispondenza di tutti i sottodomini dell'origine".
    • Se questa opzione è selezionata, il token fornito corrisponderà al dominio registrati e i domini sottostanti. Ad esempio: registra https://example.com in corrispondono a example.com, www.example.com, foo.example.com e bar.foo.example.com. Se registri https://www.example.com, il tuo token corrisponderà a www.example.com e foo.www.example.com, ma non foo.example.com.
    • I token corrispondono a più sottodomini in modo simile alla corrispondenza con caratteri jolly, ad es. *.<domain>. Richiedi un token per example.com. È possibile fornita in data a.example.com, b.example.com. Accesso ai cookie di terze parti verrà riattivata solo per le origini specifiche che forniscono e non tutti i sottodomini. Vedi Quali cookie sono abilitati quando la corrispondenza dei sottodomini è abilitato?
    • Se ospiti contenuti cross-site su origini diverse che non sono nello stesso dominio, dovrai effettuare registrazioni separate per ciascuna origine.
  5. Accetta tutte le condizioni incluse in "Divulgazione e accettazione" di selezionando tutte le caselle.
  6. Invia la richiesta.
  7. Abbiamo bisogno di ulteriori informazioni per elaborare la tua richiesta. Riceverai una notifica via email con un ticket generato automaticamente che richiede seguenti:
    • Il numero di sottodomini associati all'origine richiesta
    • L'ID o il link dei bug del repository di malfunzionamenti di terze parti associati. che hai segnalato in precedenza goo.gle/report-3pc-broken.
    • Qualsiasi informazione/contesto aggiuntivo sul malfunzionamento/caso d'uso che che ci piacerebbe che prendessimo in considerazione. (In caso di ricorso contro un processo respinto di Google Cloud, spiegare perché/in che modo la tua origine soddisfa i criteri delineati per questa versione di prova).

Una volta inviata, esamineremo la tua richiesta e ti avviseremo quando la revisione sarà completa o se sono necessarie ulteriori informazioni e se la richiesta è approvati o rifiutati. Riceverai anche lo stato e la motivazione per ottenere il risultato. In caso di approvazione, puoi procedere a fornire il token di prova, se necessario. In caso contrario, puoi seguire le indicazioni nel ticket di richiesta.

Imposta flag per i test

Per il momento ti consigliamo di impostare i seguenti flag, disponibili in Chrome 123: per consentire test efficaci. Questa combinazione di impostazioni di flag aiuterà a replicare l'esperienza utente in modalità B.

  • chrome://flags/#third-party-cookie-deprecation-trialenabled
    Questa è l'impostazione predefinita. Consenti la partecipazione alla prova.

  • chrome://flags/#tracking-protection-3pcdenabled
    Attiva la Protezione antitracciamento: mostra l'icona a forma di occhio nella barra degli indirizzi per consentire all'utente di attivare temporaneamente i cookie di terze parti per un sito e fornire chrome://settings/trackingProtection anziché chrome://settings/cookies.

  • chrome://flags/#tpcd-metadata-grantsdisabled
    Fai in modo che Chrome si comporti come se il periodo di tolleranza non fosse attivo. Si può usare per verificare che il tuo sito abbia eseguito correttamente il deployment dei token di prova deprecati prima termina il periodo di tolleranza (per un sito soggetto al periodo di tolleranza).

  • chrome://flags/#tpcd-heuristics-grantsdisabled
    Non consentire mitigazioni basate su euristica. Questo può essere utile per verificare che altre le correzioni a più lungo termine (senza cookie di terze parti) funzionano come previsto senza mitigazioni delle euristiche e che la partecipazione alle prove di deprecazione funziona previsto.

Se devi verificare manualmente che il periodo di tolleranza funzioni come previsto, prima di testare il deployment, dovrai abilitare chrome://flags/#tpcd-metadata-grants anziché disattivarla.

Aggiungi il token di prova

Consulta la Guida introduttiva all'origine prove, Origine di terze parti prove, e Risolvere i problemi relativi all'origine di Chrome prove per ulteriori informazioni.

Devi includere il token di prova in tutte le risposte della pagina in cui vuoi impostare o inviare cookie in più siti.

Fornisci il token in un'intestazione HTTP

Se devi riattivare i cookie di terze parti per una pagina incorporata in una cross-site iframe, puoi includere l'intestazione HTTP Origin-Trial nella pagina risposta:

Origin-Trial: TOKEN_GOES_HERE

Ciò corrisponde alla non attivazione della "Corrispondenza di terze parti" nel tuo ritiro registrazione alla prova mentre fornisci il token nelle tue risposte.

La risposta di pagina può impostare un cookie. Le successive richieste alla stessa origine come le risorse secondarie nella pagina o le navigazioni da quest'ultima includeranno i cookie cross-site del sito e potrebbero anche impostare cookie.

Diagramma che ribadisce il token fornito nella risposta della pagina.

Se hai bisogno che i cookie cross-site siano sulla primissima richiesta alla tua origine in sessione, puoi anche usare l'intestazione Critical-Origin-Trial per passare nome della prova:

Critical-Origin-Trial: Tpcd

Il browser proverà nuovamente a inviare la richiesta con cookie di terze parti in un bucket con il controllo delle versioni attivo.

La prova relativa al ritiro viene fornita come prova persistente, il che significa che, una volta il token sia stato ricevuto dal browser, verrà applicato il comportamento di prova fino a quando non viene caricato un iframe senza che sia presente un token di prova. È consigliabile inviare il token di prova a ogni caricamento iframe in modo coerente.

Fornisci il token in un meta tag

All'interno di una pagina, puoi utilizzare un meta tag nel documento <head>:

<meta http-equiv="origin-trial" content="TOKEN_GOES_HERE">

Il meta tag abiliterà i cookie in più siti per le successive richieste o JavaScript nella pagina, ma devi utilizzare l'intestazione HTTP se necessario i cookie esistenti da inviare alla richiesta iniziale.

Inserisci il token con JavaScript

Se devi abilitare i cookie di terze parti per la tua origine prima o senza per la tua richiesta di pagina, ad esempio se i cookie sono richiesti su un richiesta di immagine tra siti o creare un iframe con JavaScript, puoi inserire il token nel sito di primo livello utilizzando JavaScript:

const otMeta = document.createElement('meta');
otMeta.httpEquiv = 'origin-trial';
otMeta.content = 'TOKEN_GOES_HERE';
document.head.append(otMeta);

Per consentire questa operazione, devi attivare "Corrispondenza di terze parti" nel tuo ritiro registrazione alla prova mentre inserisci il token per la tua origine (il terze parti) in un altro sito.

Un token con la corrispondenza di terze parti abilitata può essere inserito in qualsiasi origine, incluso il tuo, e funzionerà.

Diagramma che ribadisce che lo script di terze parti inserisce il token nella
    pagina principale.

Una prova permanente sarà comunque disattivata se un iframe viene caricato senza token di prova. Devi fornire sempre il token di prova su tutti gli iframe caricati anche se la prova era stata abilitata inizialmente con un caricamento script di terze parti.

Convalida il token

Apri DevTools e vai alla scheda Applicazione. Espandi l'albero dei frame nella sezione nel menu di navigazione a sinistra. Se selezioni un frame, verrà visualizzata una sezione Prove dell'origine se se sono stati forniti token. Se inserisci il token nell'istanza di primo livello sito, lo vedrai nella parte superiore della pagina . In caso contrario, devi selezionare che corrisponde alla pagina incorporata.

Nella sezione Prove dell'origine, se hai fornito un token, dovresti vedere un per "Tpcd". Se la funzione è stata attivata correttamente, verrà visualizzato un verde "Attivato" . In caso contrario, vedrai uno stato di errore rosso e potrai espandi la voce per visualizzare il problema.

Per attivare la prova relativa al ritiro, è necessario un solo token valido. Se disponi registrati per la corrispondenza sia proprietaria che di terze parti, non è un problema se fornisci entrambi i token nella pagina. Ad esempio, se hai una sola pagina che possono essere incorporati in modi diversi, non c'è bisogno di creare scegliere un token, è sufficiente fornire entrambi e la prova verrà attivata in entrambi i contesti.

Quali cookie sono abilitati?

La prova relativa al ritiro attiva i cookie di terze parti solo per l'origine registrati per la prova. Dopo l'attivazione saranno presenti i cookie di terze parti nelle richieste di iframe e sottorisorse verso quell'origine. Anche i cookie di terze parti sarà disponibile con document.cookie anche negli iframe con quell'origine.

Gli attributi dei cookie Domain non vengono considerati qui. Solo l'origine dell'URL della richiesta viene preso in considerazione. Una volta stabilito che una richiesta contiene cookie di terze parti, i cookie verranno collegati come di consueto anche se il dominio di un cookie è maggiore permissiva.

Ad esempio, se https://one.test.example è registrato e il relativo token è fornito in un iframe https://one.test.example:

  • https://one.test.example/image.jpg riceverà i cookie impostati da https://one.test.example
  • https://one.test.example/image.jpg riceverà i cookie impostati da altri origini con Domain=.test.example
  • https://test.example/image.jpg o https://two.test.example/image.jpg richieste non riceveranno cookie di terze parti perché non dalla stessa origine.

Quali cookie vengono attivati quando la corrispondenza dei sottodomini è abilitata?

Il campo "Corrispondenza di tutti i sottodomini" consente di utilizzare un singolo token origine di registrazione o qualsiasi origine con un sottodominio più specifico. Un token per È possibile usare https://test.example con corrispondenza del sottodominio per attivare la prova con https://test.example, https://one.test.example, o Vengono caricati https//two.test.example iframe e script di terze parti.

Inoltre, quando la corrispondenza dei sottodomini è abilitata, i cookie di terze parti essere disponibili nelle richieste e negli iframe associati ai o sottodomini. Ad esempio, se https://test.example utilizza la corrispondenza dei sottodomini, richieste di sottorisorse come https://cdn.one.test.example/image.jpg riceveranno cookie di terze parti.

La disattivazione della versione di prova non prende in considerazione la corrispondenza dei sottodomini. Per disattivare la prova è necessario che un iframe che corrisponda esattamente all'origine nella registrazione è stato caricato senza un token. Quindi una registrazione a https://test.example con La corrispondenza dei sottodomini può essere disattivata solo da un iframe https://test.example senza un token. Questa situazione potrebbe cambiare in futuro, pertanto ti consigliamo di fornire un'opzione su tutti gli iframe del frame secondario quando vuoi attivare la prova e rimuovere da tutti gli iframe quando vuoi disattivare la prova.

Risoluzione dei problemi relativi al token di prova

Risolvere i problemi relativi all'origine di Chrome prove fornisce un elenco di controllo completo per aiutarti a eseguire il debug della registrazione e del deployment del token di prova.

In questa prova si possono verificare alcuni problemi riscontrati di frequente:

  • Con il messaggio "Ho bisogno di un token per la corrispondenza di tutti i sottodomini dell'origine". selezionata, il token fornito corrisponderà al dominio registrato e ai domini sottostanti. Ad esempio: registra https://example.com in modo che corrisponda a example.com, www.example.com, foo.example.com e bar.foo.example.com. Se registri https://www.example.com, il token corrisponderà a www.example.com e foo.www.example.com, ma non a foo.example.com.
  • I siti o i servizi di terze parti incorporati nel tuo sito web devono registrarsi per la prova. Non devi richiedere l'autorizzazione per un dominio che non possiedi.
  • Se commetti un errore nella registrazione della prova dell'origine, devi effettuare una nuova registrazione per correggere gli errori e ottenere un nuovo token.

Domande frequenti

  1. A chi mi rivolgo se ho domande su Disconnect.me elenco?
  2. Posso registrarmi alla prova relativa al ritiro se il mio dominio viene utilizzato per entrambi a scopi pubblicitari e non pubblicitari?
    • Gli incorporamenti di terze parti e i servizi utilizzati per la pubblicità non sono idonei per la prova relativa al ritiro, per i motivi spiegati in questo blog in precedenza. Sono inclusi i domini correlati alla pubblicità utilizzati anche per scopi non pubblicitari. Per ulteriori informazioni, consulta la sezione Idoneità criteri e il processo di revisione .
  3. I siti potranno vedere quali partner si sono iscritti al di Google Cloud? Sarà in grado di limitare la registrazione tra i suoi partner?
    • Sì, i siti possono vedere quali incorporamenti e servizi si basano su un il ritiro di token di prova, visualizzando le informazioni sul token nel riquadro dell'applicazione Chrome DevTools. Consulta l'articolo Risolvere i problemi relativi all'origine di Chrome prove per ulteriori informazioni.
    • I siti di primo livello non possono limitare la registrazione nei loro partner o agli incorporamenti e ai servizi sulla loro pagina. Contatta il partner se lo desideri.
  4. Qual è la differenza tra questa prova e altre come lo user agent riduzione dell'origine?
    • Il modo principale in cui la prova relativa al ritiro è diversa è la nuova registrazione che implica il rispetto dei criteri di partecipazione e dei nuovi UI/pagine nella console di prova dell'origine.
    • Il secondo modo è diverso: la sua applicazione è di siti incorporati di terze parti per risolvere la quantità massima di problemi di compatibilità tra una serie di siti/client di servizi.
  5. Ci sarà una prova relativa al ritiro dei cookie di terze parti a cui i siti di primo livello possono registrarsi per attivare i 3PC per i propri tutto il sito?
  6. Quanto tempo sarà necessario per esaminare la mia domanda di prova relativa al ritiro? Dove è possibile Verifico lo stato della mia richiesta?
    • I tempi di risposta possono variare. ti invitiamo a iniziare la registrazione il prima possibile per assicurarsi di essere pronti prima dell'1% il ritiro dei cookie di terze parti all'inizio del primo trimestre. Se non hai ricevuto alcun una risposta entro 1-2 settimane dall'invio della registrazione, contatta 3pcd-deprecationtrial@google.com.
    • Thread di bug per conversazione aperta, stato decisionale e motivazione.
  7. La registrazione alla prova relativa al ritiro è stata approvata e abbiamo implementato di prova, come consigliato. Tuttavia, la prova relativa al ritiro non funziona previsto. Cosa dovremmo fare?