Pliki cookie innych firm mają prawidłowe zastosowania, ale umożliwiają też śledzenie w witrynach. Od I kwartału 2024 r. Chrome planuje ograniczyć pliki cookie innych firm dla 1% użytkowników, aby ułatwić testowanie, a na początku 2025 r. stopniowo wycofać pliki cookie innych firm dla 100% użytkowników zgodnie z pozostałymi zastrzeżeniami brytyjskiego Urzędu ds. Konkurencji i Rynków. Jeśli w Twojej witrynie proces logowania jest zależny od plików cookie innych firm, możliwe, że ta zmiana będzie miała na to wpływ. Musisz się upewnić, że witryna jest gotowa.
Na tej stronie znajdziesz informacje o scenariuszach logowania, które mogą być najbardziej prawdopodobne, a także odniesienia do możliwych rozwiązań.
Jeśli Twoja witryna obsługuje przepływy tylko w tej samej domenie i tej samej subdomenie, np. publisher.example i login.publisher.example, nie będzie korzystać z plików cookie pochodzących z różnych witryn, a wycofanie tego ustawienia nie powinno wpłynąć na proces logowania.
Jeśli jednak Twoja witryna korzysta do logowania w osobnej domenie, np. z Logowaniem przez Google lub Facebookiem, albo jeśli w Twojej witrynie wymagane jest współdzielenie uwierzytelniania użytkowników w wielu domenach lub subdomenach, możliwe, że musisz wprowadzić w niej zmiany, aby zapewnić płynne przejście na pliki cookie z innych witryn.
Testowanie doświadczeń użytkowników związanych z tożsamością
Najlepszym sposobem sprawdzenia, czy wycofanie plików cookie innych firm ma wpływ na proces logowania, jest przejście procesu rejestracji, odzyskiwania hasła, logowania i wylogowywania z włączoną flagą wycofania plików cookie innych firm.
Oto lista kontrolna rzeczy, które należy sprawdzić po ograniczeniu plików cookie innych firm:
- Rejestracja użytkownika: tworzenie nowego konta działa zgodnie z oczekiwaniami. Jeśli korzystasz z zewnętrznych dostawców tożsamości, sprawdź, czy rejestracja nowych kont działa w przypadku każdej integracji.
- Odzyskiwanie hasła: odzyskiwanie hasła działa zgodnie z oczekiwaniami – od interfejsu internetowego przez funkcję CAPTCHA, aż po adres e-mail do odzyskiwania hasła.
- Logowanie: proces logowania działa w obrębie tej samej domeny i podczas przechodzenia do innych domen. Pamiętaj, aby przetestować każdą integrację logowania.
- Wylogowywanie: proces wylogowywania działa zgodnie z oczekiwaniami, a użytkownik pozostaje wylogowany po zakończeniu procesu wylogowywania.
Sprawdź też, czy inne funkcje witryny, które wymagają logowania użytkownika, działają bez plików cookie pochodzących z różnych stron, zwłaszcza jeśli wymagają one wczytywania zasobów z innych witryn. Jeśli na przykład używasz sieci CDN do wczytywania obrazów profili użytkowników, sprawdź, czy to zadziała. Jeśli masz kluczowe ścieżki użytkownika, np. płatności, ograniczone logowanie, zadbaj o to, aby te ścieżki nadal działały.
W kolejnych sekcjach znajdziesz bardziej szczegółowe informacje o tym, jak może to wpłynąć na te przepływy.
Tożsamość sfederowana
Przyciski logowania, takie jak Zaloguj się przez Google, Facebook Login i Zaloguj się przez Twittera, jednoznacznie wskazują, że Twoja witryna korzysta z dostawcy tożsamości sfederowanej. Każdy dostawca tożsamości sfederowanej będzie miał własną implementację, dlatego najlepszym rozwiązaniem jest zapoznanie się z dokumentacją dostawcy lub skontaktowanie się z nim w celu uzyskania dodatkowych wskazówek.
Jeśli używasz wycofanej biblioteki Google Sign-In JavaScript platformy, dowiedz się, jak przejść na nowszą bibliotekę Google Identity Services w celu uwierzytelniania i autoryzacji.
Większość witryn korzystających z nowszej biblioteki Google Identity Services jest gotowa do wycofania plików cookie innych firm, ponieważ biblioteka zostanie dyskretnie przeniesiona do FedCM, aby zapewnić zgodność. Zalecamy przetestowanie witryny z włączoną flagą wycofania plików cookie innych firm i w razie potrzeby skorzystać z listy kontrolnej migracji FedCM, aby się przygotować.
Oddzielna domena logowania
Niektóre witryny używają innej domeny tylko do uwierzytelniania użytkowników, którzy nie kwalifikują się do korzystania z plików cookie tej samej witryny, np. strona główna korzysta z example.com w witrynie głównej i login.example do logowania, co może wymagać dostępu do plików cookie innych firm, aby zapewnić uwierzytelnienie użytkownika w obu domenach.
Możliwe ścieżki migracji w tym scenariuszu:
- Aktualizacja dotycząca korzystania z własnych plików cookie („tej samej witryny”): zmiana infrastruktury witryny, tak aby proces logowania był hostowany w tej samej domenie (lub subdomenie) co witryna główna, która wykorzystywała tylko własne pliki cookie. W zależności od konfiguracji infrastruktury może to wymagać więcej wysiłku.
- Używaj zestawów powiązanych witryn (RWS): zestawy powiązanych witryn umożliwiają ograniczony dostęp do plików cookie w różnych witrynach w przypadku niewielkiej grupy powiązanych domen. RWS to interfejs API Piaskownicy prywatności stworzony z myślą o tym przypadku. RWS obsługuje jednak dostęp do plików cookie z innych witryn tylko w ograniczonej liczbie domen.
- Jeśli uwierzytelniasz użytkowników z ponad 5 powiązanych domen, zapoznaj się z FedCM: Federated Credentials Management (FedCM) umożliwia dostawcom tożsamości korzystanie z Chrome do obsługi przepływów związanych z tożsamością bez konieczności stosowania plików cookie innych firm. W tym przypadku „domena logowania” może pełnić funkcję dostawcy tożsamości FedCM i być używana do uwierzytelniania użytkowników w innych Twoich domenach.
Wiele domen
Gdy firma ma wiele usług hostowanych w różnych domenach lub subdomenach, może chcieć współdzielić z nimi sesję użytkownika, co może wymagać dostępu do plików cookie innych firm w różnych domenach.
W takiej sytuacji przechowywanie wszystkich usług w tej samej domenie jest często niepraktyczne. W tym przypadku możliwe są następujące rozwiązania:
- Użyj zestawów powiązanych witryn: jeśli potrzebny jest dostęp do plików cookie z różnych witryn między niewielką grupą powiązanych domen.
- Użyj federacji Credential Management (FedCM): gdy liczba domen jest bardzo duża, możesz użyć oddzielnej domeny logowania, która będzie działać jako dostawca tożsamości i uwierzytelniać użytkowników w Twoich witrynach za pomocą FedCM.
Rozwiązania dotyczące logowania
Logowanie jednokrotne przez inne firmy
Ze względu na złożoność wdrożenia rozwiązania SSO wiele firm decyduje się na korzystanie z usług zewnętrznego dostawcy rozwiązań w celu współużytkowania stanu logowania między wieloma domenami. Przykłady dostawców to Okta, Ping Identity, Google Cloud IAM i Microsoft Entra ID.
W przypadku korzystania z usług zewnętrznego dostawcy najlepiej poprosić go o wskazówki na temat wpływu wycofania plików cookie innych firm na rozwiązanie oraz zalecanego podejścia do danej usługi.
Rozwiązania open source dotyczące logowania jednokrotnego
Wiele firm utrzymujących własne rozwiązania SSO korzysta z uznanych standardów branżowych, takich jak OpenID Connect, OAuth czy SAML, albo ustanowionych projektów open source, takich jak Keycloak, WSO2, Auth.js czy Hydra.
Zalecamy zapoznanie się z dokumentacją dostawcy, aby dowiedzieć się, jak wycofanie plików cookie może wpłynąć na jego rozwiązanie, i wskazać najlepszą ścieżkę migracji dla tego rozwiązania.
Własne rozwiązania niestandardowe
Jeśli Twoje rozwiązanie logowania spełnia wcześniej kryteria jednego z zastosowań i jest wbudowane, przeczytaj artykuł Przygotowanie do wycofania plików cookie innych firm, aby dowiedzieć się, jak skontrolować kod i przygotować się na wycofanie plików cookie innych firm.
Zacznij działać już teraz!
Jeśli Twoja witryna podlega jednemu z tych zastosowań, masz do dyspozycji wiele rozwiązań pozwalających rozwiązać problemy. Możesz na przykład przenieść proces uwierzytelniania do domeny głównej tak, aby korzystała tylko z własnych plików cookie, użyć zestawów powiązanych witryn, aby umożliwić udostępnianie plików cookie niewielkiej liczbie domen, lub skorzystać z zarządzania danymi logowania federacji.
To moment, aby sprawdzić działanie usługi i przygotować się na wycofanie plików cookie innych firm już teraz.