Cookie pihak ketiga memiliki penggunaan yang valid, namun juga mengaktifkan pelacakan lintas situs. Chrome berencana membatasi cookie pihak ketiga bagi 1% pengguna mulai Kuartal 1 2024 untuk memfasilitasi pengujian, lalu secara bertahap menghentikan penggunaan cookie pihak ketiga untuk 100% pengguna mulai awal tahun 2025, dengan tetap mengatasi masalah persaingan yang masih ada di Competition and Markets Authority (CMA) Inggris Raya. Jika situs Anda memiliki alur login yang mengandalkan cookie pihak ketiga, ada kemungkinan situs tersebut akan terpengaruh oleh perubahan ini. Anda harus memastikan situs Anda sudah siap.
Di halaman ini, Anda akan menemukan informasi tentang skenario login yang kemungkinan besar akan terpengaruh, serta referensi ke kemungkinan solusinya.
Jika situs Anda hanya menangani alur dalam domain dan subdomain yang sama, seperti publisher.example dan login.publisher.example, situs tersebut tidak akan menggunakan cookie lintas situs dan alur login Anda tidak akan terpengaruh oleh penghentian tersebut.
Namun, jika situs Anda menggunakan domain terpisah untuk login, seperti Login dengan Google atau Login dengan Facebook, atau situs Anda perlu membagikan autentikasi pengguna di beberapa domain atau subdomain, ada kemungkinan Anda perlu melakukan perubahan pada situs untuk memastikan transisi yang lancar dari cookie lintas situs.
Menguji perjalanan pengguna terkait identitas
Cara terbaik untuk menguji apakah alur login Anda dipengaruhi oleh fase penghentian cookie pihak ketiga adalah dengan melalui alur pendaftaran, pemulihan sandi, login, dan logout dengan tanda pengujian penghentian cookie pihak ketiga diaktifkan.
Berikut adalah checklist hal-hal yang harus diperiksa setelah Anda membatasi cookie pihak ketiga:
- Pendaftaran pengguna: Pembuatan akun baru berfungsi seperti yang diharapkan. Jika menggunakan penyedia identitas pihak ketiga, pastikan pendaftaran akun baru berfungsi untuk setiap integrasi.
- Pemulihan sandi: Pemulihan sandi berfungsi seperti yang diharapkan, dari UI web, hingga CAPTCHA, hingga menerima email pemulihan sandi.
- Login: Alur kerja login bekerja dalam domain yang sama dan saat membuka domain lain. Jangan lupa untuk menguji setiap integrasi login.
- Logout: Proses logout berfungsi seperti yang diharapkan, dan pengguna tetap logout setelah alur logout.
Anda juga harus menguji apakah fitur situs lainnya yang memerlukan login pengguna tetap berfungsi tanpa cookie lintas situs, terutama jika fitur tersebut melibatkan pemuatan resource lintas situs. Misalnya, jika Anda menggunakan CDN untuk memuat gambar profil pengguna, pastikan tindakan ini masih berfungsi. Jika Anda memiliki perjalanan penting pengguna, seperti checkout, yang dibatasi saat login, pastikan hal ini dapat terus berfungsi.
Di bagian berikutnya, Anda akan menemukan informasi yang lebih spesifik tentang bagaimana alur tersebut dapat terpengaruh.
Identitas gabungan
Tombol login seperti Login dengan Google, Login dengan Facebook, dan Login dengan Twitter adalah tanda definitif bahwa situs Anda menggunakan penyedia identitas gabungan. Karena setiap penyedia identitas gabungan akan memiliki implementasinya sendiri, solusi terbaiknya adalah memeriksa dokumentasi penyedia Anda atau menghubungi mereka untuk mendapatkan panduan lebih lanjut.
Jika menggunakan library platform JavaScript Login dengan Google yang tidak digunakan lagi, Anda dapat menemukan informasi tentang cara bermigrasi ke library Layanan Identitas Google yang lebih baru untuk autentikasi dan otorisasi.
Sebagian besar situs yang menggunakan library Google Identity Services yang lebih baru siap untuk penghentian penggunaan cookie pihak ketiga, karena library akan dimigrasikan secara otomatis untuk menggunakan FedCM demi kompatibilitas. Sebaiknya uji situs Anda dengan tanda pengujian penghentian cookie pihak ketiga diaktifkan dan, jika perlu, gunakan checklist migrasi FedCM untuk melakukan persiapan.
Domain login terpisah
Beberapa situs menggunakan domain yang berbeda hanya untuk mengautentikasi pengguna yang tidak memenuhi syarat untuk cookie situs yang sama, seperti situs yang menggunakan example.com untuk situs utama dan login.example untuk alur login, yang mungkin memerlukan akses ke cookie pihak ketiga untuk memastikan bahwa pengguna diautentikasi di kedua domain.
Jalur migrasi yang mungkin untuk skenario ini adalah:
- Pembaruan untuk menggunakan cookie pihak pertama ("situs yang sama"): Mengubah infrastruktur situs sehingga alur login dihosting di domain (atau subdomain) yang sama dengan situs utama, yang hanya akan menggunakan cookie pihak pertama. Hal ini mungkin memerlukan upaya yang lebih tinggi, bergantung pada cara penyiapan infrastruktur.
- Gunakan Set Situs Terkait (RWS): Set Situs Terkait memungkinkan akses cookie lintas situs yang terbatas di antara sekelompok kecil domain terkait. RWS adalah Privacy Sandbox API yang dibangun untuk mendukung kasus penggunaan ini. Namun, RWS hanya mendukung akses cookie lintas situs di sejumlah domain tertentu.
- Jika Anda mengautentikasi pengguna di lebih dari 5 domain terkait, jelajahi FedCM: Pengelolaan Kredensial Federasi (FedCM) memungkinkan penyedia identitas mengandalkan Chrome untuk menangani alur terkait identitas tanpa memerlukan cookie pihak ketiga. Dalam kasus Anda, "domain login" Anda dapat bertindak sebagai penyedia identitas FedCM dan digunakan untuk mengautentikasi pengguna di seluruh domain Anda yang lain.
Beberapa domain
Jika bisnis memiliki beberapa produk yang dihosting di domain atau subdomain yang berbeda, bisnis tersebut sebaiknya membagikan sesi pengguna di seluruh produk tersebut, skenario yang mungkin memerlukan akses cookie pihak ketiga di antara beberapa domain.
Dalam skenario ini, menghosting semua produk pada domain yang sama sering kali tidak praktis. Solusi yang mungkin dalam kasus ini adalah:
- Gunakan Set Situs Terkait: Saat akses cookie lintas situs diperlukan di antara sekelompok kecil domain terkait.
- Gunakan Federation Credential Management (FedCM): Jika jumlah domain banyak, Anda dapat menggunakan domain login terpisah untuk bertindak sebagai penyedia identitas dan mengautentikasi pengguna di seluruh situs menggunakan FedCM.
Solusi login
Single Sign-On (SSO) Pihak Ketiga
Karena penerapan solusi SSO yang rumit, banyak perusahaan memilih untuk menggunakan penyedia solusi pihak ketiga untuk berbagi status login di antara beberapa origin. Contoh penyedia antara lain Okta, Ping Identity, Google Cloud IAM, atau ID Microsoft Entra.
Saat menggunakan penyedia pihak ketiga, pendekatan terbaik adalah meminta panduan dari penyedia mengenai pengaruh penghentian cookie pihak ketiga terhadap solusi ini dan pendekatan apa yang mereka rekomendasikan untuk layanan mereka.
Solusi SSO open source
Banyak perusahaan yang mengelola solusi SSO mereka sendiri akan melakukannya menggunakan standar industri yang telah ditetapkan, seperti OpenID Connect, OAuth, atau SAML, atau project open source yang mapan, seperti Keycloak, WSO2, Auth.js, atau Hydra.
Sebaiknya periksa dokumentasi untuk penyedia Anda guna memahami pengaruh penghentian cookie terhadap solusi mereka, dan jalur migrasi terbaik untuk solusi spesifik tersebut.
Solusi khusus internal
Jika solusi login Anda termasuk dalam salah satu kasus penggunaan sebelumnya dan merupakan solusi bawaan, Persiapan untuk menghentikan cookie pihak ketiga menjelaskan cara mengaudit kode Anda secara lebih mendetail dan mempersiapkan penghentian cookie pihak ketiga.
Ambil tindakan sekarang!
Jika situs Anda termasuk dalam salah satu kasus penggunaan tersebut, ada beberapa solusi yang tersedia untuk mengatasi kemungkinan dampak, mulai dari memindahkan alur autentikasi ke domain utama sehingga hanya menggunakan cookie pihak pertama, menggunakan Set Situs Terkait untuk mengizinkan berbagi cookie antara sejumlah kecil domain, atau memanfaatkan Federation Credential Management.
Saatnya mengaudit layanan dan mempersiapkan untuk fase cookie pihak ketiga sekarang.