כדאי להתכונן להוצאה משימוש של קובצי Cookie של צדדים שלישיים

המדריך הזה יעזור לכם להבין את ההשפעה והשינויים הנדרשים בתוסף בעקבות הפסקת התמיכה של Chrome בקובצי cookie של צד שלישי.

סקירה כללית

ב-4 בינואר 2024 השקנו ב-Chrome את התכונה הגנת מעקב, שמגבילה את הגישה של אתרים לקובצי cookie של צד שלישי (3P) כברירת מחדל, ל-1% מהמשתמשים. בתחילת תחילת 2025, דפדפן Chrome מצפה להוציא משימוש קובצי cookie של צד שלישי באופן מלא.

בתוספים ל-Classroom יש השפעה על שני מסלולים לפחות שעוברים המשתמשים:

  1. תהליך הכניסה יחידה (SSO) של Google
  2. השקת משתמשים בכרטיסיות חדשות

כניסה יחידה של Google

בתהליך הכניסה יחידה (SSO) של Google, המשתמשים מנווטים לתיבת דו-שיח כדי להיכנס לחשבון Google שלהם ולהסכים לשיתוף הנתונים.

תצוגה חזותית של שלושת ההקשרים השונים של קובצי cookie במהלך SSO מתוך iframe

איור 1. הצגה חזותית של שלושת ההקשרים השונים של קובצי cookie במהלך SSO מתוך iframe: (1) אפליקציית Classroom ברמה העליונה, (2) ה-iframe המוטמע על ידי צד שלישי (DavidPuzzle on localhost במקרה הזה), ו-(3) תיבת הדו-שיח של OAuth ברמה העליונה.

בהטמעה אופיינית של תוסף, קובץ cookie של סשן מוגדר בסיום תהליך הכניסה הזה. ה-iframe של התוסף, שנמצא בהקשר מוטמע, נטען מחדש, עכשיו עם קובץ ה-cookie של הסשן, ומאפשר למשתמש לגשת לסשן המאומת. עם זאת, כשמשביתים קובצי cookie של צד שלישי, אתרים בהקשר מוטמע, כמו מסגרות iframe של תוספים, לא יכולים לגשת לקובצי cookie מההקשרים ברמה העליונה התואמים שלהם. בתוספים ל-Classroom, המשתמש לא יכול לגשת לסשן המאומת שלו והוא נתקע בלולאת כניסה.

בהטמעות שמגדירות את קובץ ה-cookie של הסשן בהקשר של ה-iframe המוטמע, אפשר לצמצם את הבעיה הזו באמצעות CHIPS API, שמאפשר לאתרים מוטמעים להגדיר קובצי cookie עם חלוקה למחיצות (Partitions) ולגשת אליהם (קובצי cookie שמקישים גם על כלי ההטמעה וגם בדומיין המוטמע). עם זאת, יישומים המגדירים את קובץ ה-cookie של ההפעלה בהקשר ברמה העליונה של תיבת הדו-שיח לכניסה, אינם יכולים לגשת לקובץ ה-cookie המלא ב-iframe, ולמנוע כניסה.

כרטיסיות חדשות

מסיבות דומות, אם למשתמש יש הפעלה מאומתת המבוססת על קובצי cookie ב-iframe של תוסף, וה-iframe מפעיל את המשתמש לכרטיסייה חדשה ברמה העליונה לצורך פעילות, הכרטיסייה ברמה העליונה לא יכולה לגשת לקובץ ה-cookie של ההפעלה המחולקת מ-iframe. הדבר מונע מצב של סשן iframe להישאר פעיל בכרטיסייה החדשה, ויכול להיות, למשל, אילוץ המשתמש להיכנס שוב בכרטיסייה החדשה. ל-CHIPS API לא תהיה אפשרות לפתור את הבעיה הזו. לא ניתן לגשת לקובצי ה-cookie של ה-iframe שמחולקים למחיצות (Partitions) בהקשר ברמה העליונה.

פעולות של המפתח

יש כמה פעולות שכדאי לבצע כדי לוודא שהתוסף ימשיך לפעול בצורה תקינה בזמן ש-Chrome מפסיק את השימוש בקובצי cookie של צד שלישי.

  1. ביקורת על השימוש בקובצי cookie של צד שלישי בתהליכים הקריטיים של המשתמשים בתוסף. באופן ספציפי יותר, כדאי לבדוק כשקובצי ה-cookie של צד שלישי מושבתים כדי להעריך את ההשפעה על ההטמעה הספציפית שלכם.

  2. Explore Storage Access API. לכל ההטמעות של התוספים, מומלץ לבדוק את Storage Access API (SAA). SAA מאפשרת למסגרות iframe לגשת לקובצי ה-cookie מחוץ להקשר של ה-iframe. SAA זמינה ב-Chrome עוד היום, ונתמכת באפליקציית Classroom.

  3. הבעת הסכמה ל-FedCM. נוסף על כך, אם משתמשים ב-GIS, הספרייה 'כניסה באמצעות חשבון Google', ההנחיה הרשמית של צוות Identity היא להצטרף ל-FedCM. התהליך הזה לא מחליף את היכולות של קובצי cookie של צד שלישי, אבל יידרש בסופו של דבר ב-GIS כחלק מההוצאה משימוש של קובצי cookie של צד שלישי. FedCM זמין כיום ב-Chrome ונתמך ב-Classroom, אבל ההתנהגות והתכונות עדיין בפיתוח ופתוחות למשוב.

  4. העברה ל-GIS. אם אתם משתמשים בספריית GSIv2 שהוצאה משימוש, שנקראת גם ספריית הכניסה באמצעות חשבון Google, מומלץ מאוד לעבור ל-GIS כי התמיכה ב-GSIv2 בהמשך לא תהיה ברורה.

  5. הגשת בקשה לעיכוב הוצאה משימוש של תקופת הניסיון. ב-Chrome מוצעת תקופת ניסיון להוצאה משימוש כדי לאפשר תרחישים לדוגמה שאינם פרסומיים, כדי לעכב את ההשפעות של ההוצאה משימוש של קובצי Cookie של צד שלישי. אם הבקשה תאושר, תקבלו אסימון שאפשר להשתמש בו בתוסף כדי להמשיך להפעיל קובצי cookie של צד שלישי במקור במהלך 2024, בזמן המעבר לפתרון לטווח ארוך כמו SAA. אחרי שליחת הבקשה, תתבקשו לציין מזהה באג או קישור לדוח על התקלה. הצוות שלנו כבר שלח את הקובץ הזה לתוספים ל-Classroom, ואתם יכולים לספק את הבאג הזה.