I cookie di terze parti hanno molti utilizzi, ma sono anche uno strumento fondamentale per il monitoraggio tra siti.
Chrome propone una nuova esperienza per la scelta dell'utente con i cookie di terze parti. Devi preparare il tuo sito per gli utenti che scelgono di navigare senza cookie di terze parti.
In questa pagina troverai informazioni sulle soluzioni che tutelano la privacy per gli scenari embeddati che tradizionalmente si basano su cookie di terze parti e strategie per aiutarti a scegliere la soluzione più adatta alle tue esigenze.
I servizi incorporati, o embed, includono contenuti di terze parti (come video, mappe), componenti interattivi (come chat, sistemi di commenti o servizi di pagamento), servizi di accesso e altro ancora.
La maggior parte del lavoro per la transizione dai cookie di terze parti deve essere eseguita dagli sviluppatori di embed, anziché dai siti che ospitano gli embed. Questa guida illustra principalmente le soluzioni per gli sviluppatori che creano servizi integrati.
Se il tuo sito si basa su un'integrazione che utilizza cookie di terze parti, assicurati di eseguire controlli e test sui percorsi correlati all'integrazione e di contattare i fornitori di questo tipo di servizio se riscontri interruzioni.
Controlla e testa i percorsi degli utenti relativi all'embed
Il modo migliore per determinare se i tuoi incorporamenti sono interessati dai cookie di terze parti è testare i flussi utente degli incorporamenti di terze parti con l'indicatore di test dei cookie di terze parti abilitato.
Dopo aver limitato i cookie di terze parti, testa questi scenari di incorporamento comuni:
- Widget di Chat: riesci ad avviare una sessione di chat? Puoi aggiornare la pagina senza perdere la sessione? Riesci ad accedere ad altre pagine e a mantenere la sessione?
- Incorporazione di contenuti:riesci a visualizzare contenuti video o altri contenuti incorporati? Le preferenze dell'utente, ad esempio la lingua o i sottotitoli, vengono mantenute? Visualizzi gli annunci come previsto, ad esempio non li visualizzi come abbonato a Premium?
- Accesso: gli accessi, inclusi quelli Single Sign-On (SSO), funzionano per gli incorporamenti che li supportano? Rimangono invariati dopo la ricarica della pagina e il passaggio a pagine che utilizzano gli stessi elementi incorporati?
- Widget per i commenti: puoi lasciare commenti, mettere Mi piace e aggiungere un voto positivo?
- Soluzioni di pagamento integrate: riesci a completare i pagamenti?
Nelle sezioni successive troverai informazioni più specifiche su come questi flussi potrebbero essere interessati.
Casi d'uso comuni
Esistono diverse API che possono essere utilizzate per gli elementi incorporati che tradizionalmente si basano su cookie di terze parti. La tabella seguente elenca alcuni flussi di lavoro comuni e le API consigliate da utilizzare come riepilogo di alto livello. Le sezioni seguenti spiegano il ragionamento alla base di questi consigli.
| Caso d'uso | API consigliata per l'utilizzo dei cookie di terze parti |
|---|---|
| Widget Chat | CHIPS |
| Incorporamenti delle mappe | CHIPS |
| Domini sandbox per contenuti utente non attendibili (ad esempio googleusercontent.com e githubusercontent.com) che richiedono l'ambito dello stato per editore |
CHIPS |
| Annunci incorporati che richiedono l'ambito dello stato per publisher | CHIPS |
| Accedere tramite un provider di identità | FedCM |
| Embedding ospitato su origini diverse, ma correlate. | API Accesso allo spazio di archiviazione con set di siti web correlati |
| Contenuti incorporati con preferenze basate sull'accesso (ad es. contenuti video senza annunci o preferenze relative a lingua/sottotitoli) |
API Storage Access |
| Widget per i commenti sui social media che richiede l'accesso | API Storage Access |
Scegliere l'API da utilizzare per i casi d'uso di terze parti incorporati
Questa sezione illustra come scegliere un'API alternativa appropriata e spiega le API consigliate.
Il seguente diagramma di flusso ti aiuta a scegliere tra le opzioni disponibili:
Il diagramma di flusso pone tre domande principali, che esamineremo più in dettaglio, e spiega perché è consigliata una determinata API in ogni caso.
1. I cookie sono specifici per il sito di incorporamento?
Molti elementi incorporati di terze parti vengono utilizzati in modo indipendente su siti completamente estranei. Ad esempio, i widget di chat per l'assistenza clienti spesso richiedono i cookie per funzionare, ma non è necessario condividerli tra due organizzazioni completamente diverse che utilizzano entrambe la stessa soluzione di widget di chat. In effetti, la preferenza sarebbe quella di non consentire nemmeno la condivisione dei cookie in molti di questi casi.
Se fornisci un servizio di incorporamento di terze parti ad altri siti e questo si basa su cookie, valuta se questi cookie sono specifici per il servizio sul sito in cui sono incorporati. Vengono mai condivisi da istanze del tuo codice incorporato su altri siti?
Se i cookie non devono essere condivisi, l'opzione più semplice è suddividerli utilizzando CHIPS. Questa API lega i cookie di terze parti al sito di primo livello, anziché consentire la loro condivisione da parte di tutti i siti che utilizzano lo stesso incorporamento di terze parti. CHIPS è facile da implementare perché richiede solo l'aggiunta di un attributo Partitioned aggiuntivo ai cookie esistenti. In questo modo, i servizi incorporati possono comunque salvare lo stato, ma viene rimosso lo spazio di archiviazione cross-site condiviso che consentirebbe il monitoraggio tra siti.
I siti devono anche verificare se i cookie vengono utilizzati per i motivi giusti. I cookie devono essere utilizzati solo quando sono impostati o devono essere inviati con le richieste HTTP. In caso contrario, se i cookie vengono utilizzati solo come comoda opzione di archiviazione, è preferibile prendere in considerazione le varie API di archiviazione. In questo modo i dati rimangono locali quando non è necessario inviarli. Le API di archiviazione sono già partizionate in tutti i principali browser, in modo simile a come CHIPS partiziona i cookie.
2. I cookie sono per un provider di identità di terze parti?
Un uso comune dei cookie di terze parti negli elementi incorporati è fornire funzionalità di accesso gestite da un provider di accesso di terze parti, come Accedi con Google. In questo caso, i cookie partizionati non sono un'opzione.
Federated Credential Management (FedCM) è un'API dedicata specificamente a questo caso d'uso e funziona senza cookie di terze parti. Se FedCM è supportato dal provider di identità, potrebbe non essere necessario utilizzare i cookie di terze parti.
Puoi scoprire di più su come gestire gli effetti dei cookie di terze parti sui flussi di lavoro di accesso nella guida sull'identità.
3. I cookie vengono utilizzati su un numero limitato di siti correlati?
Se nessuna delle opzioni precedenti è una sostituzione adatta per i cookie, devi valutare la possibilità di riattivare l'accesso ai cookie di terze parti per l'embed. Questa operazione può essere attivata in casi d'uso specifici e controllati con l'API Storage Access. Questa API riattiva l'accesso completo ai cookie di terze parti (in base ai controlli), quindi è l'opzione più efficace. Per questo motivo, ti consigliamo di evitarlo se è sufficiente un'alternativa più restrittiva.
Esistono alcuni requisiti per l'utilizzo dell'API Storage Access:
- L'utente deve aver visitato in precedenza il sito dell'embed a livello superiore. Ad esempio, se incorpori un sistema di commenti, l'utente deve visitare anche il sito del sistema di commenti.
- L'utente deve interagire con l'embed prima che i cookie possano essere condivisi. Ciò significa che potrebbe non essere possibile caricare tutti i contenuti incorporati prima dell'interazione dell'utente.
- L'utente potrebbe dover approvare la condivisione dei cookie con un popup del browser, in particolare alla prima istanza e periodicamente in seguito.
- Il sito di incorporamento potrebbe anche dover impostare attributi sandbox aggiuntivi.
Queste limitazioni garantiscono che l'azione efficace di riattivare i cookie di terze parti venga eseguita solo quando l'utente e il sito lo prevedono. Tuttavia, in alcuni scenari, le azioni dell'utente potrebbero essere ignorate. Ad esempio, se l'utente ha approvato di recente l'accesso, potrebbe non essere necessario chiedergli di nuovo l'autorizzazione per un determinato periodo di tempo (come definito dal browser).
Un altro scenario in cui è probabile che questo venga previsto dall'utente è per i siti correlati. Ad esempio, alcune organizzazioni utilizzano una serie di origini diverse, considerate cross-site dal browser, pertanto l'utilizzo dei cookie in questi casi viene considerato di terze parti. Alcuni esempi sono brand con siti specifici per paese (ad esempio example.com e example.co.uk) o siti web specifici per brand (ad esempio example.car e example.house).
In questo caso, se il numero di siti web correlati è ridotto, puoi utilizzare gli insiemi di siti web correlati. I siti vengono inviati a Chrome, in modo che Chrome sappia che sono correlati. In questo modo, è possibile accedere all'API Storage Access in modo più intuitivo, con meno richieste all'utente.
Per i siti web non correlati che sono effettivamente di terze parti e per i quali è richiesto l'accesso completo ai cookie di terze parti perché le API alternative non sono sufficienti, l'utilizzo dell'API Accesso allo spazio di archiviazione sarà soggetto a requisiti e richieste completi.
Confronto delle varie API
Ognuna delle soluzioni ha caratteristiche e limitazioni leggermente diverse che le rendono una scelta migliore per determinati casi d'uso. La seguente tabella riassume le principali differenze:
| CHIPS | Spazio di archiviazione partizionato | FedCM | API Accesso allo spazio di archiviazione con set di siti web correlati | API Storage Access | |
|---|---|---|---|---|---|
| L'utente non deve aver già eseguito l'accesso alla parte incorporata come sito di primo livello | |||||
| Non richiede all'utente di approvare l'accesso | |||||
| Non richiede all'utente di interagire con l'embed | (può essere vero anche per i siti incorporati con accesso di primo livello). |
||||
| Impegno di implementazione | Molto basso | Bassa | Alta | Medio | Medio |
| Può essere utilizzato per condividere i cookie tra più siti/origini di primo livello | (Proposta in discussione) |
||||
| Disponibile su browser non Chromium | (viene utilizzata l'API Storage Access.) |
Supporto di casi d'uso su più browser
La compatibilità del browser è uno dei fattori principali per decidere su una soluzione, come accennato nell'ultima riga della tabella. Alcune API (CHIPS, FedCM, Related WebSite Sets) sono disponibili solo sui browser Chromium. Al momento, le uniche due soluzioni cross-browser sono le API di archiviazione partizionate (quando i cookie non sono obbligatori) o l'API Storage Access (quando i cookie sono obbligatori).
Tuttavia, come indicato in precedenza, l'API Accesso allo spazio di archiviazione presenta una serie di limitazioni che possono influire sull'esperienza utente sul tuo sito web. Il team di Chrome ha lavorato all'aggiunta delle altre API, progettate per soddisfare casi d'uso specifici e offrire un'esperienza simile a quella che è stata possibile con i cookie di terze parti. Pertanto, ti consigliamo di valutare le opzioni migliori e di trattarle come miglioramenti progressivi, con un fallback all'API Accesso allo spazio di archiviazione per i browser non supportati.
Poiché i cookie possono essere bloccati per una serie di motivi (ad esempio impostazioni del browser, estensioni), il rilevamento delle funzionalità dell'API potrebbe non essere sufficiente. È invece preferibile verificare se i cookie previsti esistono e, in caso contrario, utilizzare il flusso di lavoro dell'API Accesso allo spazio di archiviazione per richiedere l'accesso ai cookie di terze parti.
Intervieni subito.
Se l'embed di terze parti non funziona più senza l'utilizzo di cookie di terze parti, sono disponibili diverse soluzioni per gestire il possibile impatto, come descritto in questo talk. È arrivato il momento di verificare il tuo servizio per rilevare i cookie di terze parti.
Per chi riscontra problemi con gli elementi incorporati ora che Chrome sta testando la rimozione dei cookie di terze parti, sono disponibili una serie di opzioni a breve termine per la migrazione alle alternative descritte in questo post. Per ulteriori informazioni, consulta la documentazione sulla preservazione delle esperienze utente fondamentali.
Se hai domande sui casi d'uso di incorporamento di terze parti non trattati in questa guida, puoi segnalare un nuovo problema utilizzando il tag "Ritiro dei cookie di terze parti" nel nostro repository di assistenza per gli sviluppatori.