Cookies de terceiros e fluxos de trabalho de incorporação

Cookies de terceiros têm muitas utilidades, mas também são um facilitador importante do rastreamento entre sites.

O Chrome propõe uma nova experiência para os usuários com cookies de terceiros. Você precisa preparar seu site para os usuários que optam por navegar sem cookies de terceiros.

Nesta página, você vai encontrar informações sobre soluções de preservação de privacidade para cenários incorporados que tradicionalmente dependiam de cookies de terceiros e estratégias para escolher a melhor solução para suas necessidades.

Os serviços incorporados ou incorporações incluem conteúdo de terceiros (como vídeos, mapas), componentes interativos (como chat, sistemas de comentários ou serviços de pagamento), serviços de login e muito mais.

A maior parte do trabalho de transição dos cookies de terceiros precisa ser feita por desenvolvedores de incorporação, e não por sites que hospedam incorporações. Este guia discutirá principalmente soluções para desenvolvedores que criam serviços incorporados.

Caso seu site dependa de uma incorporação que usa cookies de terceiros, faça uma auditoria e teste as jornadas relacionadas à incorporação. Se você encontrar alguma falha, entre em contato com os provedores de incorporação.

Audite e teste as jornadas do usuário relacionadas à incorporação

A melhor maneira de determinar se as incorporações são afetadas por cookies de terceiros é testar os fluxos de usuários incorporados de terceiros com a sinalização de teste de cookies de terceiros ativada.

Depois de restringir cookies de terceiros, teste estes cenários de incorporação comuns:

  • Widgets do chat:é possível iniciar uma sessão de chat? Você consegue atualizar a página sem perder a sessão? Você consegue navegar para outras páginas e manter sua sessão?
  • Incorporações de conteúdo: é possível visualizar conteúdos de vídeo ou outros conteúdos incorporados? As preferências do usuário, como idioma ou legendas, são mantidas? Você está vendo anúncios no momento esperado, por exemplo, eles não estão sendo exibidos como assinante premium?
  • Login: os logins, incluindo os de Logon único (SSO), estão funcionando em incorporações compatíveis com eles? Eles são persistidos por meio de atualizações de página e navegação para páginas que usam as mesmas incorporações?
  • Widgets de comentários:é possível deixar, marcar como "Gostei" e apoiar comentários?
  • Soluções de pagamento incorporadas:você consegue concluir os pagamentos?

Nas próximas seções, você encontrará informações mais específicas sobre como esses fluxos podem ser afetados.

Casos de uso comuns

Várias APIs podem ser usadas para incorporações que tradicionalmente dependiam de cookies de terceiros. A tabela a seguir lista alguns fluxos de trabalho comuns e as APIs recomendadas para uso como um resumo geral. As seções a seguir explicam as razões dessas recomendações.

Caso de uso API recomendada para uso de cookies de terceiros
Widget de chat DICAS
Incorporações de mapas DICAS
domínios sandbox para conteúdo de usuário não confiável
(como googleusercontent.com e githubusercontent.com) que precisa de escopo de estado por editor;
DICAS
Anúncios incorporados que precisam ter um escopo de estado por editor DICAS
Fazer login usando um provedor de identidade FedCM
Incorporação hospedada em origens diferentes, mas relacionadas. API Storage Access com conjuntos de sites relacionados
Incorporações de conteúdo com preferências baseadas em login
(como conteúdo de vídeo sem anúncios ou preferências de idioma/legenda)
API Storage Access
Widget de comentários em mídias sociais que exige login API Storage Access
APIs alternativas recomendadas para casos de uso comuns

Como escolher a API a ser usada em casos de uso incorporados de terceiros

Esta seção mostra como escolher uma API alternativa apropriada e explica as APIs recomendadas.

O fluxograma a seguir ajuda a escolher entre as opções disponíveis:

Fluxograma de opções para decidir sobre a alternativa de cookies de terceiros com base em três perguntas.
Como decidir qual API usar para incorporações de cookies de terceiros

O fluxograma faz três perguntas principais. Vamos analisá-las em mais detalhes e explicar por que uma determinada API é recomendada em cada caso.

1. Os cookies são específicos do site de incorporação?

Muitas incorporações de terceiros são usadas de forma independente em sites completamente não relacionados. Por exemplo, os widgets de chat para suporte ao cliente geralmente exigem que os cookies funcionem, mas não precisam compartilhar esses cookies entre duas organizações completamente diferentes que usam a mesma solução de widget de chat. Na verdade, a preferência seria nem sequer permitir o compartilhamento de cookies em muitos desses casos.

Se você fornece um serviço de incorporação de terceiros a outros sites e ele depende de cookies, verifique se esses cookies são específicos para o serviço no site em que ele está incorporado. Elas são compartilhadas por instâncias da sua incorporação em outros sites?

Se os cookies não precisarem ser compartilhados, particionar os cookies usando CHIPS é a opção mais fácil. Essa API vincula cookies de terceiros ao site de nível superior em vez de permitir que eles sejam compartilhados por todos os sites que usam a mesma incorporação de terceiros. Os CHIPS são fáceis de implementar, porque exigem apenas a adição de um atributo Partitioned extra aos cookies existentes. Isso permite que os serviços incorporados ainda salvem o estado, mas remove o armazenamento compartilhado entre sites, que permite o rastreamento entre sites.

Os sites também precisam verificar se os cookies estão sendo usados pelos motivos corretos. Os cookies só devem ser usados quando estão definidos ou precisam ser enviados com solicitações HTTP. Se esse não for o caso e os cookies forem usados apenas como uma opção de armazenamento conveniente, considere as diversas APIs de armazenamento. Isso mantém os dados locais quando eles não precisam ser enviados. As APIs de armazenamento já estão particionadas em todos os principais navegadores, de modo semelhante aos cookies.

2. Os cookies são de um provedor de identidade de terceiros?

Um uso comum de cookies de terceiros em incorporações é fornecer recursos de login gerenciados por um provedor de login de terceiros, como o Fazer login com o Google. Cookies particionados não são uma opção nesse caso.

O Federated Credential Management (FedCM) é uma API dedicada especificamente para esse caso de uso e funciona sem cookies de terceiros. Se o provedor de identidade aceita o FedCM, isso pode eliminar a necessidade de cookies de terceiros.

Leia mais sobre como lidar com os efeitos dos cookies de terceiros nos fluxos de trabalho de login no guia de identidade.

Se nenhuma das opções anteriores for adequada para substituir os cookies, tente reativar o acesso a cookies de terceiros na incorporação. Isso pode ser ativado em casos de uso específicos e controlados com a API Storage Access. Essa API reativa o acesso total a cookies de terceiros (sujeito a controles), por isso é a opção mais eficiente. Por isso, a recomendação é evitar o uso desse recurso, caso uma alternativa mais restritiva seja suficiente.

Há alguns requisitos para usar a API Storage Access:

  • O usuário precisa ter visitado anteriormente o site da incorporação de nível superior. Por exemplo, ao incorporar um sistema de comentários, o usuário também precisará visitar o site desse sistema.
  • O usuário precisa interagir com a incorporação antes que os cookies sejam compartilhados. Isso significa que talvez não seja possível carregar todo o conteúdo incorporado antes da interação do usuário.
  • O usuário pode precisar aprovar o compartilhamento de cookies com um pop-up do navegador, especialmente na primeira instância e periodicamente depois disso.
  • O site de incorporação também pode precisar definir atributos de sandbox adicionais.

Essas restrições garantem que a ação eficiente de reativar cookies de terceiros só seja realizada quando o usuário e o site esperam isso. No entanto, em determinadas situações, as ações do usuário podem ser ignoradas. Por exemplo, se o usuário tiver aprovado o acesso recentemente, talvez não seja necessário pedir de novo por um período de tempo (conforme definido pelo navegador).

Outro cenário em que isso provavelmente seria esperado pelo usuário é em sites relacionados. Por exemplo, algumas organizações usam várias origens diferentes, que são consideradas entre sites pelo navegador. Portanto, o uso de cookies em todas elas é tratado como terceiro. Exemplos incluem marcas com sites específicos a um país (como example.com e example.co.uk) ou sites específicos de marcas (como example.car e example.house).

Nesse caso, quando houver um pequeno número de sites relacionados, use conjuntos de sites relacionados. Os sites são enviados ao Chrome para que o Chrome saiba que eles estão relacionados. Isso facilita o acesso à API Storage Access com menos comandos.

Para sites não relacionados que são de terceiros e em que o acesso total a cookies de terceiros é necessário porque as APIs alternativas não são suficientes, o uso da API Storage Access vai estar sujeito a todos os requisitos e solicitações.

Comparação das diversas APIs

Cada uma das soluções tem características e limitações ligeiramente diferentes que as tornam uma escolha melhor para determinados casos de uso. A tabela a seguir resume as principais diferenças:

DICAS Armazenamento particionado FedCM API Storage Access com conjuntos de sites relacionados API Storage Access
O usuário não precisa ter acessado anteriormente a parte incorporada como um site de nível superior.
Não exige solicitação do usuário para aprovar o acesso
Não exige que o usuário interaja com a incorporação
(Também pode ser verdadeiro para sites incorporados com acesso de nível superior.
Esforço de implementação Muito baixo Baixo Alta Médio Médio
Podem ser usadas para compartilhar cookies em várias origens/sites de nível superior
(Proposta em discussão.)
Disponível em navegadores que não são do Chromium
(volta para a API Storage Access.)
Comportamentos, nível de esforço necessário e disponibilidade das principais APIs para casos de uso incorporados

Suporte a casos de uso em vários navegadores

A compatibilidade do navegador é um dos principais fatores na decisão sobre uma solução, como mencionado na última linha da tabela. Algumas das APIs (CHIPS, FedCM, conjuntos de sites relacionados) estão disponíveis apenas nos navegadores Chromium. As duas únicas soluções para navegadores diferentes no momento são as APIs de armazenamento particionado (quando os cookies não são necessários) ou a API Storage Access (quando os cookies são necessários).

No entanto, conforme observado anteriormente, a API Storage Access tem várias restrições que podem afetar a experiência do usuário no seu site. A equipe do Chrome trabalhou para adicionar outras APIs, que são projetadas para atender a casos de uso específicos e fornecer uma experiência semelhante à que foi possível com cookies de terceiros. Por isso, recomendamos considerar quais são as melhores opções e tratá-las como melhorias progressivas, com uma substituta para a API Storage Access para navegadores sem suporte.

Como os cookies podem ser bloqueados por vários motivos (por exemplo, configurações do navegador, extensões), a detecção de recursos do suporte à API pode não ser suficiente. Em vez disso, é melhor testar se os cookies esperados existem e, caso contrário, recorrer ao fluxo de trabalho da API Storage Access para solicitar acesso a cookies de terceiros.

Tome providências agora mesmo!

Se a incorporação de terceiros não funcionar mais sem o uso de cookies de terceiros, há várias soluções disponíveis que abordam o possível impacto, conforme detalhado nesta conversa. O momento de auditar os cookies de terceiros no seu serviço agora é.

Para quem está enfrentando falhas nas incorporações, já que o Chrome está testando a remoção de cookies de terceiros, há várias opções de curto prazo para ajudar na migração para alternativas descritas nesta postagem. Consulte a documentação sobre preservação de experiências críticas do usuário para mais informações.

Se você tiver dúvidas sobre casos de uso de incorporação de terceiros não abordados neste guia, informe um novo problema usando a "descontinuação dos cookies de terceiros". tag no repositório de suporte ao desenvolvedor.