Las cookies de terceros tienen muchos usos, pero también son un elemento clave para el seguimiento entre sitios.
Chrome propone una nueva experiencia de elección del usuario con cookies de terceros. Debes preparar tu sitio para los usuarios que elijan navegar sin cookies de terceros.
En esta página, encontrarás información sobre soluciones que preservan la privacidad para situaciones de incorporación que tradicionalmente se basaban en cookies de terceros, y estrategias que te ayudarán a elegir la solución que mejor se adapte a tus necesidades.
Los servicios incorporados incluyen contenido de terceros (como videos o mapas), componentes interactivos (como chat, sistemas de comentarios o servicios de pago), servicios de acceso y mucho más.
La mayor parte del trabajo para realizar la transición de las cookies de terceros debe ser realizado por los desarrolladores de incorporaciones, en lugar de los sitios que alojan incorporaciones. En esta guía, se analizarán principalmente las soluciones para desarrolladores que crean servicios incorporados.
Si tu sitio depende de una incorporación que usa cookies de terceros, asegúrate de auditar y probar tus recorridos relacionados con la incorporación, y comunícate con los proveedores de incorporaciones si descubres algún error.
Audita y prueba tus recorridos del usuario relacionados con las incorporaciones
La mejor manera de determinar si tus incorporaciones se ven afectadas por cookies de terceros es probar tus flujos de usuarios de incorporaciones de terceros con la marca de prueba de cookies de terceros habilitada.
Una vez que hayas restringido las cookies de terceros, prueba estas situaciones de incorporación comunes:
- Widgets de chat: ¿Puedes iniciar una sesión de chat? ¿Puedes actualizar la página sin perder la sesión? ¿Puedes navegar a otras páginas y mantener tu sesión?
- Incorporación de contenido: ¿Puedes ver contenido de video o algún otro contenido incorporado? ¿Se mantienen las preferencias del usuario, como el idioma o los subtítulos? ¿Ves anuncios cuando se espera, por ejemplo, no los ves como suscriptor de Premium?
- Acceso: ¿Los accesos, incluidos los de inicio de sesión único (SSO), funcionan en las incorporaciones que los admiten? ¿Se conservan a través de la recarga de páginas y la navegación a páginas que usan las mismas incorporaciones?
- Widgets de comentarios: ¿Puedes dejar comentarios, marcarlos con Me gusta y votarlos?
- Soluciones de pago integradas: ¿Puedes completar los pagos correctamente?
En las siguientes secciones, encontrarás información más específica sobre cómo podrían verse afectados esos flujos.
Casos de uso habituales
Existen varias APIs que se pueden usar para incorporaciones que tradicionalmente dependían de cookies de terceros. En la siguiente tabla, se enumeran algunos flujos de trabajo comunes y las APIs recomendadas para usar como resumen de alto nivel. En las siguientes secciones, se explicará el razonamiento detrás de estas recomendaciones.
| Caso de uso | API recomendada para el uso de cookies de terceros |
|---|---|
| Widget de chat | CHIPS |
| Incorporaciones de mapas | CHIPS |
| Dominios de zona de pruebas para contenido de usuario no confiable (como googleusercontent.com y githubusercontent.com) que necesitan un estado centrado en cada publicador |
CHIPS |
| Anuncios incorporados que necesitan un estado centrado por publicador | CHIPS |
| Accede a través de un proveedor de identidad | FedCM |
| Incorporación alojada en orígenes diferentes, pero relacionados | API de Storage Access con conjuntos de sitios web relacionados |
| Incorporación de contenido con preferencias basadas en el acceso (como contenido de video sin anuncios o preferencias de idioma o subtítulos) |
API de Storage Access |
| Widget de comentarios en redes sociales que requiere acceso | API de Storage Access |
Cómo elegir la API que se usará para casos de uso de terceros incorporados
En esta sección, se explica cómo elegir una API alternativa adecuada y se describen las APIs recomendadas.
El siguiente diagrama de flujo te ayuda a elegir entre las opciones disponibles:
El diagrama de flujo plantea tres preguntas principales, que analizaremos con más detalle y por qué se recomienda una API determinada en cada caso.
1. ¿Las cookies son específicas del sitio de incorporación?
Muchos elementos incorporados de terceros se usan de forma independiente en sitios completamente no relacionados. Por ejemplo, los widgets de chat para la asistencia al cliente suelen requerir cookies para funcionar, pero no es necesario que se compartan entre dos organizaciones completamente diferentes que usan la misma solución de widget de chat. De hecho, la preferencia sería no permitir el uso compartido de cookies en muchos de estos casos.
Si proporcionas un servicio de incorporación de terceros a otros sitios y este se basa en cookies, considera si esas cookies son específicas del servicio en el sitio en el que se incorpora. ¿Alguna vez se comparten a través de instancias de tu incorporación en otros sitios?
Si no es necesario compartir las cookies, la opción más fácil es particionarlas con CHIPS. Esta API vincula las cookies de terceros al sitio de nivel superior, en lugar de permitir que todos los sitios que usan la misma incorporación de terceros las compartan. CHIPS es fácil de implementar, ya que solo requiere agregar un atributo Partitioned adicional a las cookies existentes. Esto permite que los servicios incorporados aún guarden el estado, pero quita el almacenamiento compartido entre sitios que permitiría el seguimiento entre sitios.
Los sitios también deben verificar si las cookies se usan por los motivos correctos. Las cookies solo deben usarse cuando se configuran o cuando se deben enviar con solicitudes HTTP. Si este no es el caso y las cookies solo se usan como una opción de almacenamiento conveniente, se deben considerar las diversas APIs de almacenamiento. Esto mantiene los datos locales cuando no es necesario enviarlos. Las APIs de almacenamiento ya están particionadas en todos los navegadores principales, de manera similar a como CHIPS particiona las cookies.
2. ¿Las cookies son de un proveedor de identidad de terceros?
Un uso común de las cookies de terceros en las incorporaciones es proporcionar capacidades de acceso administradas por un proveedor de acceso de terceros, como Acceder con Google. En este caso, las cookies particionadas no son una opción.
Federated Credential Management (FedCM) es una API dedicada específicamente a este caso de uso y funciona sin cookies de terceros. Si el proveedor de identidad admite FedCM, es posible que no se necesiten cookies de terceros.
Puedes obtener más información para abordar los efectos de las cookies de terceros en los flujos de trabajo de acceso en la guía de identidad.
3. ¿Las cookies se usan en una pequeña cantidad de sitios relacionados?
Si ninguna de las opciones anteriores es un reemplazo adecuado para las cookies, debes volver a habilitar el acceso a las cookies de terceros para la incorporación. Esto se puede habilitar en casos de uso específicos y controlados con la API de acceso a almacenamiento. Esta API vuelve a habilitar el acceso completo a las cookies de terceros (sujeto a controles), por lo que es la opción más potente. Por eso, se recomienda evitarla si una alternativa más restrictiva es suficiente.
Existen algunos requisitos para usar la API de Storage Access:
- El usuario debe haber visitado anteriormente el sitio de la incorporación en el nivel superior. Por ejemplo, si incorporas un sistema de comentarios, el usuario también debe visitar el sitio de ese sistema.
- El usuario debe interactuar con la incorporación para que se puedan compartir las cookies. Esto significa que es posible que no se pueda cargar todo el contenido incorporado antes de la interacción del usuario.
- Es posible que el usuario deba aprobar el uso compartido de cookies con una ventana emergente del navegador, en particular en la primera instancia y de forma periódica a partir de entonces.
- Es posible que el sitio de incorporación también deba establecer atributos adicionales de zona de pruebas.
Estas restricciones garantizan que la acción potente de volver a habilitar las cookies de terceros solo se realice cuando el usuario y el sitio lo esperan. Sin embargo, en algunos casos, es posible que se omitan las acciones del usuario. Por ejemplo, si el usuario aprobó el acceso recientemente, es posible que no sea necesario volver a solicitarle permiso durante un período (según lo defina el navegador).
Otra situación en la que es probable que el usuario espere esto es en los sitios relacionados. Por ejemplo, algunas organizaciones usan varios orígenes diferentes, que el navegador considera como sitios cruzados, por lo que el uso de cookies en ellos se considera de terceros. Entre los ejemplos, se incluyen marcas con sitios específicos de cada país (como example.com y example.co.uk) o sitios web específicos de la marca (como example.car y example.house).
En este caso, cuando hay una pequeña cantidad de sitios web relacionados, puedes usar los Conjuntos de sitios web relacionados. Los sitios se envían a Chrome para que sepa que están relacionados. Esto permite acceder a la API de Storage Access de una manera más fácil de usar, con menos indicaciones para el usuario.
En el caso de los sitios web no relacionados que en realidad son de terceros y en los que se requiere acceso completo a las cookies de terceros porque las APIs alternativas no son suficientes, el uso de la API de Acceso a almacenamiento estará sujeto a los requisitos y mensajes completos.
Comparación de las diferentes APIs
Cada una de las soluciones tiene características y limitaciones ligeramente diferentes que las convierten en una mejor opción para ciertos casos de uso. En la siguiente tabla, se resumen las principales diferencias:
| CHIPS | Almacenamiento particionado | FedCM | API de Storage Access con conjuntos de sitios web relacionados | API de Storage Access | |
|---|---|---|---|---|---|
| El usuario no necesita haber accedido previamente a la parte incorporada como un sitio de nivel superior. | |||||
| No requiere que el usuario apruebe el acceso | |||||
| No requiere que el usuario interactúe con la incorporación | (También puede ser verdadero para los sitios incorporados con acceso de nivel superior). |
||||
| Esfuerzo de implementación | Muy bajo | Baja | Alto | Medio | Medio |
| Se puede usar para compartir cookies en varios sitios o orígenes de nivel superior. | (Propuesta en discusión.) |
||||
| Disponible en navegadores que no sean de Chromium | (Se recurre a la API de Storage Access). |
Compatibilidad con casos de uso en todos los navegadores
La compatibilidad con los navegadores es uno de los factores más importantes a la hora de decidirse por una solución, como se menciona en la última línea de la tabla. Algunas de las APIs (CHIPS, FedCM y Related WebSite Sets) solo están disponibles en navegadores Chromium. Actualmente, las únicas dos soluciones multinavegador son las APIs de almacenamiento particionado (cuando no se requieren cookies) o la API de Storage Access (cuando se requieren cookies).
Sin embargo, como se señaló anteriormente, la API de Storage Access tiene varias restricciones que pueden afectar la experiencia del usuario en tu sitio web. El equipo de Chrome trabajó para agregar las otras APIs, que están diseñadas para cumplir con casos de uso específicos y proporcionar una experiencia similar a la que se logra con las cookies de terceros. Por lo tanto, se recomienda considerar cuáles son las mejores opciones y tratarlas como mejoras progresivas, con un resguardo a la API de acceso a almacenamiento para los navegadores que no son compatibles.
Dado que las cookies se pueden bloquear por varios motivos (por ejemplo, la configuración del navegador o las extensiones), es posible que la detección de funciones de compatibilidad con la API no sea suficiente. En su lugar, es mejor probar si existen las cookies esperadas y, de no ser así, recurrir al flujo de trabajo de la API de Storage Access para solicitar acceso a cookies de terceros.
Toma medidas ahora mismo
Si tu incorporación de terceros ya no funciona sin el uso de cookies de terceros, existen varias soluciones disponibles que abordan el posible impacto, como se detalla en esta charla. Ahora es el momento de auditar tu servicio en busca de cookies de terceros.
Para quienes experimenten fallas con sus incorporaciones ahora que Chrome está probando la eliminación de las cookies de terceros, hay varias opciones a corto plazo para obtener ayuda mientras migran a las alternativas que se describen en esta publicación. Consulta la documentación sobre cómo preservar experiencias del usuario críticas para obtener más información.
Si tienes preguntas sobre casos de uso de incorporaciones de terceros que no se abordan en esta guía, puedes informar un problema nuevo con la etiqueta "baja de cookies de terceros" en nuestro repositorio de asistencia para desarrolladores.