לקובצי cookie של צד שלישי יש שימושים רבים, אך הם גם גורם מרכזי המאפשר מעקב בין אתרים. כדי לאפשר בדיקות, החל מהרבעון הראשון של 2024 דפדפן Chrome הגביל את השימוש בקובצי cookie של צד שלישי ל-1% מהמשתמשים.
בדף הזה תמצאו מידע על פתרונות לשמירה על הפרטיות בתרחישים מוטמעים, שבאופן מסורתי הסתמכו על קובצי cookie של צד שלישי, ואסטרטגיות שיעזרו לכם לבחור את הפתרון המתאים ביותר לצרכים שלכם.
שירותים מוטמעים, או הטמעות, כוללים תוכן של צד שלישי (כמו סרטונים, מפות), רכיבים אינטראקטיביים (כמו צ'אט, מערכות תגובות או שירותי תשלום), שירותי התחברות ועוד.
את רוב מאמצי המעבר מקובצי cookie של צד שלישי מבצעים מפתחי הטמעה, ולא אתרים שמארחים הטמעות. המדריך הזה יעסוק בעיקר בפתרונות למפתחים שיוצרים שירותים מוטמעים.
אם האתר שלכם מסתמך על הטמעה שמשתמשת בקובצי cookie של צד שלישי, חשוב לבדוק ולבדוק את התהליכים שקשורים להטמעה ולפנות לספקי ההטמעה אם יתברר שיש תקלות.
בדיקה ובדיקה של התהליכים שעוברים המשתמשים הקשורים להטמעה
הדרך הטובה ביותר לבדוק אם ההטמעה שלכם מושפעת מהפסקת השימוש בקובצי cookie של צד שלישי היא לבדוק את הזרימות של המשתמשים המוטמעים של צד שלישי כשמופעל הסימון לבדיקת הפסקה הדרגתית של שימוש בקובצי cookie של צד שלישי.
אחרי שמגבילים קובצי cookie של צד שלישי, כדאי לבדוק את תרחישי ההטמעה הנפוצים הבאים:
- ווידג'טים של צ'אט: האם אפשר להתחיל סשן צ'אט? האם אפשר לרענן את הדף בלי לאבד את הסשן? האם תוכלו לעבור לדפים אחרים ולשמור על הסשן?
- הטמעות תוכן: האם אפשר להציג תוכן וידאו או תוכן מוטמע אחר? האם נשמרות העדפות המשתמש, כגון השפה או הכתוביות? האם אתם רואים מודעות כמצופה, למשל אם אתם לא רואים אותן כמנויים עם מינוי Premium?
- התחברות: האם פרטי התחברות – כולל התחברות יחידה (SSO) – פועלים בהטמעות שתומכות בהם? האם הם עקביים באמצעות טעינות מחדש של דפים וניווט לדפים שמשתמשים באותן הטמעות?
- ווידג'טים להוספת תגובות: האם אפשר להוסיף תגובות, לסמן לייק ולסמן לייק?
- פתרונות תשלום מוטמעים: האם אפשר להשלים תשלומים בהצלחה?
הקטעים הבאים מכילים מידע ספציפי יותר לגבי ההשפעה האפשרית על התהליכים האלה.
תרחישים נפוצים לדוגמה
יש כמה ממשקי API שאפשר להשתמש בהם להטמעות, שבאופן מסורתי הסתמכו על קובצי cookie של צד שלישי. בטבלה הבאה מפורטים כמה תהליכי עבודה נפוצים וממשקי API מומלצים לשימוש כסיכום כללי. הקטעים הבאים יסבירו את הסיבה להמלצות האלה.
| תרחיש לדוגמה | API מומלץ לשימוש בקובצי Cookie של צד שלישי |
|---|---|
| ווידג'ט של Chat | צ'יפים |
| הטמעות מפה | צ'יפים |
| דומיינים ב-Sandbox עם תוכן לא מהימן של משתמשים (כמו googleusercontent.com ו-githubusercontent.com) שצריך להגדיר בהם היקף של מצב לכל בעל תוכן דיגיטלי |
צ'יפים |
| מודעות מוטמעות שנדרשת עבורן רמת מדינה ברמת בעל האפליקציה | צ'יפים |
| התחברות באמצעות ספק זהויות | FedCM |
| הטמעה שמתארחת במקורות שונים אבל קשורים. | Storage Access API עם קבוצות של אתרים קשורים |
| הטמעת תוכן בהתאם להעדפות מבוססות על התחברות (כמו תוכן וידאו ללא מודעות, או העדפות שפה/כתוביות) |
Storage Access API |
| ווידג'ט להוספת תגובות למדיה חברתית שדורש התחברות | Storage Access API |
בחירת ה-API לשימוש בתרחישים לדוגמה מוטמעים של צד שלישי
בקטע הזה נסביר איך לבחור ממשק API חלופי מתאים, ונסביר על ממשקי ה-API המומלצים.
תרשים הזרימה הבא עוזר לבחור מבין האפשרויות הזמינות:
תרשים הזרימה מציג שלוש שאלות עיקריות, ואנחנו נבחן אותן בפירוט רב יותר ונסביר למה ה-API המומלץ בכל אחד מהמקרים.
1. האם קובצי ה-cookie ספציפיים לאתר ההטמעה?
אתרים רבים שאינם קשורים כלל להטמעה של צד שלישי משמשים באופן בלתי תלוי. לדוגמה, ווידג'טים של צ'אט לתמיכה בלקוחות דורשים לעתים קרובות קובצי cookie כדי לעבוד, אבל אינם צריכים לשתף את קובצי ה-cookie האלה בין שני ארגונים שונים לחלוטין, ששניהם משתמשים באותו פתרון ווידג'ט לצ'אט. למעשה, ברוב המקרים האלה עדיף לא להתיר שיתוף של קובצי cookie.
אם אתם מספקים שירות הטמעה של צד שלישי לאתרים אחרים והוא מסתמך על קובצי cookie, יש לבדוק אם קובצי ה-cookie האלה ספציפיים לשירות באתר שבו הם מוטמעים. האם הם מופיעים לפעמים כמופעים של ההטמעה באתרים אחרים?
אם לא צריך לשתף את קובצי ה-cookie, האפשרות הקלה ביותר היא לחלק את קובצי ה-cookie למחיצות באמצעות CHIPS. ה-API הזה מקשר קובצי cookie של צד שלישי לאתר ברמה העליונה, במקום לאפשר לכל האתרים שמשתמשים באותה הטמעה של צד שלישי. קל להטמיע את CHIPS, כי לשם כך צריך רק להוסיף עוד מאפיין Partitioned לקובצי ה-cookie הקיימים. כך השירותים המוטמעים עדיין יכולים לשמור מצבים, אבל מסירים אחסון משותף באתרים שונים שמאפשר מעקב באתרים שונים.
בנוסף, אתרים צריכים לבדוק אם נעשה שימוש בקובצי cookie מהסיבות הנכונות. יש להשתמש בקובצי Cookie רק כאשר הם מוגדרים או צריכים להישלח עם בקשות HTTP. אם זה לא המצב, וקובצי ה-cookie משמשים רק כאפשרות אחסון נוחה, צריך להשתמש במקום זאת בממשקי ה-API השונים לאחסון. כך הנתונים נשמרים באופן מקומי כשאין צורך לשלוח אותם. ממשקי ה-API לאחסון כבר מחולקים למחיצות בכל הדפדפנים המובילים, באופן דומה לחלוקה של קובצי ה-cookie באמצעות CHIPS.
2. האם קובצי ה-cookie של ספק זהויות של צד שלישי?
אחד השימושים הנפוצים בקובצי cookie של צד שלישי בהטמעות הוא לספק יכולות התחברות שמנוהלות על ידי ספק התחברות של צד שלישי, למשל כניסה באמצעות חשבון Google. במקרה זה, אין אפשרות להשתמש בקובצי Cookie שחולקו למחיצות.
ניהול פרטי כניסה מאוחדים (FedCM) הוא API ייעודי לתרחיש לדוגמה הזה, והוא פועל ללא קובצי cookie של צד שלישי. אם ספק הזהויות תומך ב-FedCM, ייתכן שלא יהיה צורך בקובצי cookie של צד שלישי.
במדריך לזהויות אפשר לקרוא מידע נוסף על טיפול בהשפעות של הפסקת השימוש בקובצי cookie של צד שלישי על תהליכי העבודה של ההתחברות.
3. האם קובצי ה-cookie נמצאים בשימוש במספר קטן של אתרים קשורים?
אם אף אחת מהאפשרויות הקודמות לא מתאימה לקובצי cookie, עליך לבדוק מחדש את האפשרות לאפשר גישה לקובצי cookie של צד שלישי עבור ההטמעה. אפשר להפעיל את האפשרות הזו בתרחישים ספציפיים מבוקרים באמצעות Storage Access API. ה-API הזה מפעיל מחדש גישה מלאה לקובצי cookie של צד שלישי (בכפוף לאמצעי בקרה), כך שזו האפשרות הכי יעילה. לכן ההמלצה היא להימנע מכך אם חלופה מגבילה יותר תספיק.
יש מספר דרישות לשימוש ב-Storage Access API:
- המשתמש חייב להיכנס בעבר לאתר ההטמעה ברמה העליונה. לדוגמה, אם המשתמש מטמיע מערכת תגובות, הוא חייב לבקר גם באתר של אותה מערכת תגובה.
- המשתמש צריך ליצור אינטראקציה עם ההטמעה לפני שיוכלו לשתף קובצי cookie. כלומר, ייתכן שלא תהיה אפשרות לטעון את התוכן המוטמע במלואו לפני האינטראקציה של המשתמש.
- ייתכן שהמשתמש יצטרך לאשר את השיתוף של קובצי cookie באמצעות חלון קופץ בדפדפן, במיוחד במופע הראשון ומדי פעם לאחר מכן.
- ייתכן גם שאתר ההטמעה יצטרך להגדיר מאפייני Sandbox נוספים.
ההגבלות האלה מבטיחות שהפעולה האפקטיבית של הפעלה מחדש של קובצי cookie של צד שלישי תתבצע רק כשהמשתמש והאתר מצפים לכך. עם זאת, בתרחישים מסוימים, ניתן לדלג על פעולות המשתמש. לדוגמה, אם המשתמש אישר גישה לאחרונה, ייתכן שלא יהיה צורך לשלוח אותו מחדש למשך פרק זמן מסוים (כפי שהוגדר על ידי הדפדפן).
תרחיש נוסף שבו סביר שהמשתמש מצפה לכך הוא לגבי אתרים קשורים. לדוגמה, ארגונים מסוימים משתמשים בכמה מקורות שונים, כי הדפדפן מתייחס אליהם כאתרים שונים - ולכן השימוש בקובצי cookie באתרים האלה נחשב לצד שלישי. לדוגמה: מותגים שיש להם אתרים ספציפיים למדינה (כמו example.com ו-example.co.uk) או אתרים ספציפיים למותג (כמו example.car ו-example.house).
במקרה כזה, כשיש מספר קטן של אתרים קשורים, אפשר להשתמש בקבוצות של אתרים קשורים. אתרים נשלחים אל Chrome, כדי ש-Chrome יידע שהם קשורים. כך מתאפשרת גישה ל-Storage Access API באופן ידידותי יותר למשתמש, עם פחות הודעות אימות.
באתרים לא קשורים שהם למעשה צדדים שלישיים, ונדרשת גישה מלאה לקובצי cookie של צד שלישי כי ממשקי ה-API החלופיים לא מספיקים, השימוש ב-Storage Access API יהיה כפוף לדרישות ולבקשות מלאות.
השוואה בין ממשקי ה-API השונים
לכל אחד מהפתרונות יש מאפיינים והגבלות שונים מעט, ולכן הבחירה בהם טובה יותר עבור תרחישים מסוימים. הטבלה הבאה מסכמת את ההבדלים העיקריים:
| צ'יפים | נפח אחסון מחולק | FedCM | Storage Access API עם קבוצות של אתרי אינטרנט קשורים | Storage Access API | |
|---|---|---|---|---|---|
| אין למשתמש צורך בגישה בעבר לגורם המוטמע כאתר ברמה העליונה | |||||
| לא נדרשת בקשה מהמשתמש לאישור הגישה | |||||
| לא מחייב את המשתמש לבצע אינטראקציה עם הטמעה | (ההגדרה הזו יכולה להיות נכונה גם לגבי אתרים מוטמעים עם גישה ברמה העליונה.) |
||||
| מאמצי הטמעה | נמוכה מאוד | נמוך | גבוה | אמצעי הגעה לאתר | אמצעי הגעה לאתר |
| אפשר להשתמש בהם לשיתוף קובצי cookie בכמה אתרים או מקורות ברמה העליונה | (ההצעה לא מאושרת.) |
||||
| זמין בדפדפנים שאינם Chromium | (חזרה ל-Storage Access API). |
תמיכה בתרחישים לדוגמה בדפדפנים שונים
תאימות דפדפן היא אחד הגורמים העיקריים כשמחליטים על פתרון, כפי שמתואר בשורה האחרונה של הטבלה. חלק מממשקי ה-API (CHIPS, FedCM, תוכניות של אתרי אינטרנט קשורים) זמינים רק בדפדפני Chromium. נכון לעכשיו, שני הפתרונות היחידים לדפדפנים שונים הם ממשקי API שחולקו למחיצות (כשאין צורך בקובצי cookie) או API Storage Access API (כאשר נדרשים קובצי cookie).
עם זאת, כפי שצוין קודם לכן, יש כמה הגבלות על Storage Access API שעשויות להשפיע על חוויית המשתמש באתר שלכם. צוות Chrome עבד על הוספת ממשקי ה-API האחרים, שנועדו לתת מענה לתרחישים ספציפיים ולספק חוויה הדומה לזו שהייתה זמינה באמצעות קובצי cookie של צד שלישי. לכן מומלץ לשקול את האפשרויות הטובות ביותר ולהתייחס אליהן כשיפורים הדרגתיים, עם חזרה ל-Storage Access API בדפדפנים שאינם תומכים.
מאחר שניתן לחסום קובצי cookie מכמה סיבות (לדוגמה, הגדרות דפדפן ותוספים), ייתכן שזיהוי תכונות של תמיכה ב-API לא יספיק. במקום זאת, מומלץ לבדוק אם קובצי ה-cookie הצפויים קיימים, ואם לא לחזור לתהליך העבודה של Storage Access API כדי לבקש גישה לקובצי cookie של צד שלישי.
נקוט פעולה עכשיו!
אם ההטמעה של הצד השלישי לא פועלת יותר ללא שימוש בקובצי cookie של צד שלישי, יש כמה פתרונות זמינים שמטפלים בהשפעה האפשרית כפי שמפורט בשיחה הזו. עכשיו צריך לבדוק את השירות שלך ולהתכונן להפסקת ההדרגתיות ההדרגתית של קובצי ה-Cookie של צד שלישי.
אם יש שיבושים בהטמעות, מכיוון ש-Chrome בודק את ההסרה של קובצי cookie של צד שלישי, יש כמה אפשרויות לטווח קצר לקבלת עזרה במעבר לחלופות שמתוארות בפוסט הזה. כדי לקבל מידע נוסף, אפשר לעיין במסמכים בנושא שימור של חוויות משתמש קריטיות.
אם יש לכם שאלות לגבי תרחישים לדוגמה של צד שלישי להטמעה שלא מפורטים במדריך הזה, אפשר להעלות בעיה חדשה באמצעות התג 'הוצאה משימוש של קובצי cookie של צד שלישי' במאגר התמיכה במפתחים.