כדאי להתכונן להוצאה משימוש של קובצי Cookie של צדדים שלישיים

המדריך הזה יעזור לכם להבין את ההשפעה ואת השינויים הנדרשים בתוסף על ידי הפסקת התמיכה בקובצי Cookie של צד שלישי ב-Chrome.

סקירה

ב-4 בינואר 2024 הושקה ב-Chrome ההגדרה חסימת מעקב, שמגבילה כברירת מחדל את הגישה של 1% מהמשתמשים לאתרים לקובצי Cookie של צד שלישי (3P). בתחילת 2025 דפדפן Chrome צפוי להסיר לגמרי קובצי Cookie מצד שלישי.

לפחות שני התהליכים שעוברים המשתמשים מושפעים מהתוספים ל-Classroom:

תהליך הכניסה היחידה (SSO) של Google
להשיק משתמשים לכרטיסיות חדשות

כניסה יחידה של Google

בתהליך הכניסה היחידה באמצעות Google, המשתמשים מועברים לתיבת דו-שיח כדי להיכנס לחשבון Google ולהביע הסכמה לשיתוף נתונים.

תצוגה חזותית של שלושת ההקשרים השונים של קובצי cookie במהלך SSO מתוך iframe

איור 1. תצוגה חזותית של שלושת ההקשרים השונים של קובצי cookie במהלך SSO מתוך iframe: (1) אפליקציית Classroom ברמה העליונה, (2) iframe מוטמע של צד שלישי (DavidPuzzle ב-localhost במקרה זה) ו-(3) תיבת דו-שיח מסוג OAuth ברמה העליונה.

בהטמעה אופיינית של תוסף, קובץ Cookie של סשן מוגדר בסיום תהליך הכניסה הזה. ה-iframe של התוסף, שנמצא בהקשר מוטמע, נטען מחדש עם קובץ ה-cookie של הסשן, ומאפשר למשתמש לגשת לסשן המאומת. עם זאת, כשקובצי Cookie של צד שלישי מושבתים, אתרים בהקשר מוטמע כמו iframes של תוספים לא יכולים לגשת לקובצי Cookie מההקשרים ברמה העליונה המתאימים. בתוספים ל-Classroom, המשתמש לא יכול לגשת לסשן המאומת שלו, והוא נתקע בלולאת כניסה.

בהטמעות שמגדירות את קובץ ה-cookie של הסשן בהקשר של ה-iframe המוטמע, אפשר לצמצם את הבעיה באמצעות CHIPS API, שמאפשר לאתרים מוטמעים להגדיר קובצי Cookie שפוצלו ולגשת אליהם (קובצי Cookie שמתבצעים גם בכלי ההטמעה וגם בדומיין המוטמע). עם זאת, באפליקציות שבהן מוגדר קובץ ה-cookie של הסשן בהקשר העליון של תיבת הדו-שיח לכניסה, אין גישה לקובץ ה-cookie ללא חלוקה למחיצות ב-iframe, וכך נמנעת כניסה לחשבון.

כרטיסיות חדשות

מסיבות דומות, אם למשתמש יש סשן מאומת שמבוסס על קובצי cookie ב-iframe של תוסף, וה-iframe פותח את המשתמש בכרטיסייה חדשה ברמה העליונה לפעילות מסוימת, הכרטיסייה ברמה העליונה לא תוכל לגשת לקובץ ה-cookie של הסשן שפוצל מ-iframe. כך מצב הסשן של ה-iframe לא יישמר בפעילות של הכרטיסייה החדשה, וזה עלול לאלץ את המשתמשים, למשל, להיכנס שוב בכרטיסייה החדשה. ל-CHIPS API לא תהיה אפשרות לפתור את הבעיה הזו באופן מובנה. אין גישה לקובצי ה-cookie של iframe מחולקים למחיצות בהקשר ברמה העליונה.

פעולות למפתחים

יש כמה פעולות שכדאי לבצע כדי להבטיח שהתוסף ימשיך לפעול כמצופה כאשר Chrome מוציא משימוש בהדרגה קובצי Cookie מצד שלישי.

ביקורת השימוש בקובצי cookie של צד שלישי בתהליכים הקריטיים להמרת המשתמש בתוסף. באופן ספציפי, בודקים כשקובצי ה-cookie של צד שלישי מושבתים כדי להעריך את ההשפעה של ההטמעה הספציפית שלכם.
להתנסות ב-Storage Access API לכל הטמעות של תוספים, מומלץ להתנסות ב-API של Storage Access (SAA). SAA מאפשרת למסגרות iframe לגשת לקובצי ה-cookie מחוץ להקשר של iframe. SAA זמין כבר היום ב-Chrome ונתמך באפליקציית Classroom.

הערה: אם בתהליך ה-SSO לא מוגדרים קובצי cookie בהקשר של תיבת הדו-שיח, והתוסף לא מפעיל משתמשים לכרטיסיות ברמה העליונה, יכול להיות שלא צריך SAA. CHIPS API פשוט יותר יכול לעזור לכם לבדוק אם הוא עונה על הצרכים שלכם.
להצטרף ל-FedCM. בנוסף, אם אתם משתמשים ב-GIS, בספרייה 'כניסה באמצעות חשבון Google', ההנחיות הרשמיות של צוות Identity הן להצטרף ל-FedCM. ההגדרה הזו לא מחליפה את היכולות של קובצי ה-Cookie של צד שלישי, אבל בסופו של דבר היא תידרש ב-GIS כחלק מההוצאה משימוש של קובצי ה-Cookie של צד שלישי. FedCM זמין כיום ב-Chrome ונתמך ב-Classroom, אבל ההתנהגות והתכונות עדיין בפיתוח ופתוחים לקבלת משוב.
מעבר ל-GIS. אם אתם משתמשים בספריית GSIv2 שהוצאה משימוש, שנקראת גם ספריית 'כניסה באמצעות חשבון Google', מומלץ מאוד לעבור ל-GIS כי התמיכה ב-GSIv2 לא ברורה בהמשך.
הגשת בקשה לעיכוב בניסוי שהוצאה משימוש. ב-Chrome יש תקופת ניסיון להוצאה משימוש כדי לאפשר לתרחישים לדוגמה שלא קשורים לפרסום לעכב את ההשפעות של ההוצאה משימוש של קובץ ה-cookie של צד שלישי. אם הבקשה תאושר, תקבלו אסימון שבו תוכלו להשתמש בתוסף כדי להשאיר את קובצי ה-cookie מצד שלישי מופעלים עבור המקור במהלך שנת 2024, ובמקביל לעבור לפתרון לטווח ארוך כמו SAA. אחרי הגשת הבקשה תתבקשו לספק מזהה באג או קישור לדיווח על תקלות. הצוות שלנו כבר הגיש את הבקשה הזו לגבי תוספים ל-Classroom ואפשר לשלוח את הבאג הזה.