Cookie pihak ketiga memiliki banyak kegunaan, tetapi juga merupakan pengaktif utama pelacakan lintas situs. Chrome telah membatasi cookie pihak ketiga bagi 1% pengguna mulai Kuartal 1 2024 guna memfasilitasi pengujian, dan berencana untuk secara bertahap menghentikan penggunaan cookie pihak ketiga untuk 100% pengguna mulai awal tahun 2025, dengan menanggapi masalah persaingan lainnya dari Competition and Markets Authority (CMA) Inggris Raya.
Di halaman ini, Anda akan menemukan informasi tentang solusi yang menjaga privasi untuk skenario tersemat yang biasanya mengandalkan cookie pihak ketiga, dan strategi untuk membantu Anda memilih solusi yang paling sesuai dengan kebutuhan Anda.
Layanan tersemat, atau sematan, termasuk konten pihak ketiga (seperti video, peta), komponen interaktif (seperti chat, sistem komentar, atau layanan pembayaran), layanan login, dan lainnya.
Sebagian besar pekerjaan untuk beralih dari cookie pihak ketiga harus dilakukan oleh developer sematan, bukan situs yang menghosting penyematan. Panduan ini terutama akan membahas solusi bagi developer yang membuat layanan sematan.
Jika situs Anda mengandalkan penyematan yang menggunakan cookie pihak ketiga, pastikan untuk mengaudit dan menguji perjalanan Anda terkait penyematan, serta menghubungi penyedia penyematan jika Anda menemukan kerusakan.
Mengaudit dan menguji perjalanan pengguna yang terkait dengan sematan
Cara terbaik untuk menentukan apakah sematan Anda terpengaruh oleh penghentian cookie pihak ketiga adalah dengan menguji alur pengguna sematan pihak ketiga dengan tanda pengujian penghentian cookie pihak ketiga diaktifkan.
Setelah Anda membatasi cookie pihak ketiga, uji skenario penyematan umum berikut:
- Widget chat: Dapatkah Anda memulai sesi chat? Dapatkah Anda memuat ulang halaman tanpa kehilangan sesi? Dapatkah Anda menavigasi ke halaman lain dan mempertahankan sesi Anda?
- Penyematan konten: Dapatkah Anda melihat konten video atau konten tersemat lainnya? Apakah preferensi pengguna, seperti bahasa atau subtitel, tetap dipertahankan? Apakah Anda melihat iklan sesuai harapan, misalnya tidak melihatnya sebagai pelanggan premium?
- Login: Apakah login—termasuk login Single Sign-On (SSO)—berfungsi untuk sematan yang mendukung proses login? Apakah hal ini terus dilakukan melalui pemuatan ulang halaman dan navigasi ke halaman yang menggunakan sematan yang sama?
- Widget komentar: Dapatkah Anda memberi, menyukai, dan memberi suara positif pada komentar?
- Solusi pembayaran tersemat: Dapatkah Anda menyelesaikan pembayaran dengan sukses?
Di bagian berikutnya, Anda akan menemukan informasi yang lebih spesifik tentang pengaruhnya terhadap alur tersebut.
Kasus penggunaan umum
Ada sejumlah API yang dapat digunakan untuk penyematan yang biasanya mengandalkan cookie pihak ketiga. Tabel berikut mencantumkan beberapa alur kerja umum dan API yang direkomendasikan untuk digunakan sebagai ringkasan tingkat tinggi. Bagian berikut akan menjelaskan alasan untuk rekomendasi ini.
| Kasus penggunaan | API yang direkomendasikan untuk penggunaan cookie pihak ketiga |
|---|---|
| Widget Chat | CHIPS |
| Penyematan peta | CHIPS |
| Domain sandbox untuk konten pengguna yang tidak tepercaya (seperti googleusercontent.com dan githubusercontent.com) yang memerlukan cakupan status per penayang |
CHIPS |
| Iklan tersemat yang memerlukan cakupan status per penayang | CHIPS |
| Login melalui penyedia identitas | FedCM |
| Penyematan yang dihosting di origin yang berbeda, tetapi terkait. | Storage Access API dengan Set Situs Terkait |
| Penyematan konten dengan preferensi berbasis login (seperti konten video tanpa iklan, atau preferensi bahasa/subtitel) |
Storage Access API |
| Widget komentar media sosial yang memerlukan login | Storage Access API |
Memilih API yang akan digunakan untuk kasus penggunaan pihak ketiga yang disematkan
Bagian ini akan memandu cara memilih API alternatif yang sesuai dan menjelaskan API yang direkomendasikan.
Diagram alir berikut membantu memilih dari opsi yang tersedia:
Diagram alur mengajukan tiga pertanyaan utama dan kita akan membahasnya secara lebih mendetail serta mengapa API tertentu direkomendasikan dalam setiap kasus.
1. Apakah cookie tersebut khusus untuk situs sematan?
Banyak sematan pihak ketiga digunakan secara terpisah di situs yang sama sekali tidak terkait. Misalnya, widget chat untuk dukungan pelanggan sering kali memerlukan cookie agar dapat berfungsi, tetapi tidak perlu membagikan cookie ini di antara dua organisasi yang benar-benar berbeda yang keduanya menggunakan solusi widget chat yang sama. Bahkan, dalam banyak kasus ini, preferensi bukan untuk mengizinkan pembagian cookie.
Jika Anda menyediakan layanan penyematan pihak ketiga untuk situs lain dan layanan tersebut mengandalkan cookie, pertimbangkan apakah cookie tersebut khusus untuk layanan di situs tempat cookie disematkan. Apakah sematan itu pernah dibagikan dalam sematan Anda di situs lain?
Jika cookie tidak perlu dibagikan, mempartisi cookie menggunakan CHIPS adalah opsi termudah. API ini mengikat cookie pihak ketiga ke situs tingkat teratas, bukan mengizinkan cookie tersebut dibagikan oleh semua situs yang menggunakan sematan pihak ketiga yang sama. CHIPS mudah diterapkan karena hanya memerlukan penambahan atribut Partitioned tambahan ke cookie yang ada. Hal ini memungkinkan layanan tersemat tetap menyimpan status, tetapi menghapus penyimpanan lintas situs bersama yang memungkinkan pelacakan lintas situs.
Situs juga harus memeriksa apakah cookie digunakan untuk alasan yang benar. Cookie hanya boleh digunakan jika telah ditetapkan atau perlu dikirim dengan permintaan HTTP. Jika tidak, dan cookie hanya digunakan sebagai opsi penyimpanan yang praktis, berbagai API penyimpanan harus dipertimbangkan. Hal ini membuat data bersifat lokal saat tidak perlu dikirim. API penyimpanan sudah dipartisi di semua browser utama, dengan cara yang sama seperti CHIPS mempartisi cookie.
2. Apakah cookie untuk penyedia identitas pihak ketiga?
Salah satu penggunaan umum cookie pihak ketiga di sematan adalah untuk memberikan kemampuan login yang dikelola oleh penyedia login pihak ketiga, seperti Login dengan Google. Cookie yang dipartisi bukan merupakan opsi dalam kasus ini.
Pengelolaan Kredensial Federasi (FedCM) adalah API khusus khusus untuk kasus penggunaan ini dan berfungsi tanpa cookie pihak ketiga. Jika FedCM didukung oleh penyedia identitas, hal ini dapat menghapus kebutuhan akan cookie pihak ketiga.
Anda dapat membaca selengkapnya tentang cara mengatasi dampak penghentian cookie pihak ketiga terhadap alur kerja login di panduan identitas.
3. Apakah cookie digunakan di sejumlah kecil situs yang terkait?
Jika tidak ada opsi sebelumnya yang merupakan pengganti cookie yang sesuai, Anda perlu melihat pengaktifan kembali akses cookie pihak ketiga untuk penyematan. Hal ini dapat diaktifkan dalam kasus penggunaan tertentu yang terkontrol dengan Storage Access API. API ini mengaktifkan kembali akses penuh cookie pihak ketiga (tunduk pada kontrol) sehingga merupakan opsi yang paling efektif. Itulah mengapa rekomendasinya adalah menghindarinya jika alternatif yang lebih ketat sudah cukup.
Ada beberapa persyaratan untuk menggunakan Storage Access API:
- Pengguna harus sudah pernah mengunjungi situs sematan di tingkat atas. Misalnya, jika menyematkan sistem pemberian komentar, pengguna juga harus mengunjungi situs sistem pemberian komentar tersebut.
- Pengguna harus berinteraksi dengan sematan sebelum cookie dapat dibagikan. Artinya, Anda mungkin tidak dapat memuat konten tersemat sepenuhnya sebelum interaksi pengguna.
- Pengguna mungkin perlu menyetujui berbagi cookie dengan pop-up browser, terutama pada instance pertama dan secara berkala setelahnya.
- Situs penyematan mungkin juga perlu menyetel atribut sandbox tambahan.
Pembatasan ini memastikan tindakan yang efektif dari pengaktifan kembali cookie pihak ketiga hanya dilakukan saat pengguna dan situs mengharapkan hal ini. Namun, dalam skenario tertentu, tindakan pengguna mungkin dilewati. Misalnya, jika pengguna baru saja menyetujui akses, mereka mungkin tidak perlu meminta mereka kembali selama jangka waktu tertentu (seperti yang ditentukan oleh browser).
Satu skenario lain yang kemungkinan besar diharapkan oleh pengguna adalah untuk situs terkait. Misalnya, beberapa organisasi menggunakan sejumlah asal yang berbeda, yang dianggap sebagai lintas situs oleh browser, sehingga penggunaan cookie di seluruh organisasi tersebut diperlakukan sebagai pihak ketiga. Contohnya termasuk merek dengan situs khusus negara (seperti example.com dan example.co.uk) atau situs khusus merek (seperti example.car dan example.house).
Dalam hal ini, jika ada sedikit situs terkait, Anda dapat menggunakan Set Situs Terkait. Situs dikirimkan ke Chrome, sehingga Chrome mengetahui bahwa situs tersebut saling terkait. Hal ini memungkinkan akses ke Storage Access API dengan cara yang lebih mudah digunakan dan lebih sedikit perintah pengguna.
Untuk situs tidak terkait yang sebenarnya merupakan pihak ketiga, dan jika akses cookie pihak ketiga secara lengkap diperlukan karena API alternatif tidak memadai, penggunaan Storage Access API akan tunduk kepada persyaratan dan perintah lengkap.
Perbandingan berbagai API
Setiap solusi memiliki karakteristik dan batasan yang sedikit berbeda yang menjadikannya pilihan yang lebih baik untuk kasus penggunaan tertentu. Tabel berikut merangkum perbedaan utamanya:
| CHIPS | Penyimpanan Terpartisi | FedCM | Storage Access API dengan Set WebSite Terkait | Storage Access API | |
|---|---|---|---|---|---|
| Pengguna tidak perlu pernah mengakses pihak yang disematkan sebagai situs tingkat atas | |||||
| Tidak memerlukan permintaan pengguna untuk menyetujui akses | |||||
| Tidak mengharuskan pengguna untuk berinteraksi dengan sematan | (Juga berlaku untuk situs tersemat dengan akses tingkat teratas.) |
||||
| Upaya penerapan | Sangat rendah | Rendah | Tinggi | Sedang | Sedang |
| Dapat digunakan untuk membagikan cookie di beberapa situs/origin tingkat atas | (Proposal sedang dipecah.) |
||||
| Tersedia di browser non-Chromium | (Kembali ke Storage Access API.) |
Mendukung kasus penggunaan di seluruh browser
Kompatibilitas browser adalah salah satu faktor utama saat memutuskan solusi, seperti yang dibahas di baris terakhir tabel. Beberapa API (CHIPS, FedCM, Set Situs Terkait) hanya tersedia di browser Chromium. Saat ini hanya dua solusi lintas browser adalah API penyimpanan terpartisi (jika cookie tidak diperlukan), atau Storage Access API (jika cookie diperlukan).
Namun, seperti yang disebutkan sebelumnya, Storage Access API memiliki sejumlah batasan yang dapat memengaruhi pengalaman pengguna di situs Anda. Tim Chrome telah berupaya menambahkan API lainnya, yang dirancang untuk memenuhi kasus penggunaan tertentu dan memberikan pengalaman yang serupa dengan yang mungkin dilakukan dengan cookie pihak ketiga. Oleh karena itu, sebaiknya pertimbangkan opsi terbaik dan perlakukan sebagai peningkatan progresif, dengan penggantian ke Storage Access API untuk browser yang tidak didukung.
Karena cookie dapat diblokir karena sejumlah alasan (misalnya, setelan browser, ekstensi), deteksi fitur dari dukungan API mungkin tidak memadai. Sebagai gantinya, sebaiknya uji apakah cookie yang diharapkan ada, dan jika tidak, kembali ke alur kerja Storage Access API untuk meminta akses ke cookie pihak ketiga.
Ambil tindakan sekarang!
Jika sematan pihak ketiga Anda tidak lagi berfungsi tanpa penggunaan cookie pihak ketiga, ada beberapa solusi yang tersedia untuk menangani kemungkinan dampak yang dijelaskan dalam diskusi ini. Saatnya mengaudit layanan dan mempersiapkan penghentian cookie pihak ketiga sekarang.
Bagi pengguna yang mengalami kerusakan pada sematannya saat ini karena Chrome sedang menguji penghapusan cookie pihak ketiga, ada sejumlah opsi jangka pendek untuk mendapatkan bantuan saat bermigrasi ke alternatif yang dijelaskan dalam postingan ini. Lihat dokumentasi menjaga pengalaman pengguna yang penting untuk mengetahui informasi selengkapnya.
Jika ada pertanyaan seputar kasus penggunaan sematan pihak ketiga yang tidak dibahas dalam panduan ini, Anda dapat mengajukan masalah baru menggunakan tag "penghentian cookie pihak ketiga" di repositori dukungan developer kami.