Cookies de terceiros têm usos válidos, mas também permitem o rastreamento entre sites. A partir do primeiro trimestre de 2024, o Chrome planeja restringir cookies de terceiros a 1% dos usuários para facilitar os testes. Depois disso, o Chrome vai descontinuar os cookies de terceiros para 100% dos usuários a partir do início de 2025, sujeito a questões de concorrência restantes da Autoridade de Concorrência e Mercados (CMA, na sigla em inglês) do Reino Unido. Se o site tem um fluxo de login que depende de cookies de terceiros, é possível que ele seja afetado por essa mudança. Verifique se o site está pronto.
Nesta página, você encontrará informações sobre os cenários de login com maior probabilidade de serem afetados, bem como referências a possíveis soluções.
Caso seu site só processe fluxos no mesmo domínio e subdomínios, como publisher.example e login.publisher.example, ele não vai usar cookies entre sites, e o fluxo de login não será afetado pela descontinuação.
No entanto, caso seu site use um domínio separado para fazer login, como o Login do Google ou do Facebook, ou caso seu site precise compartilhar a autenticação do usuário em vários domínios ou subdomínios, talvez seja necessário fazer mudanças no site para garantir uma transição tranquila dos cookies entre sites.
Testar as jornadas do usuário relacionadas à identidade
A melhor maneira de testar se o fluxo de login é afetado pela desativação dos cookies de terceiros é passar pelos fluxos de registro, recuperação de senha e login com a sinalização de teste de fase de encerramento de cookies de terceiros ativada.
Esta é uma lista de verificação do que verificar depois de restringir cookies de terceiros:
- Registro de usuário: a criação de uma nova conta funciona conforme o esperado. Se estiver usando provedores de identidade de terceiros, verifique se o registro de novas contas funciona em todas as integrações.
- Recuperação de senha:a recuperação de senha funciona conforme o esperado na interface da Web, nos CAPTCHAs e no recebimento do e-mail de recuperação de senha.
- Login:o fluxo de trabalho de login funciona no mesmo domínio e ao navegar para outros domínios. Não se esqueça de testar todas as integrações de login.
- Sair:o processo de logout funciona conforme esperado e o usuário permanece desconectado após o fluxo de logout.
Teste também se outros recursos do site que exigem login do usuário permanecem funcionais sem cookies entre sites, especialmente se envolverem o carregamento de recursos entre sites. Por exemplo, se você usar uma CDN para carregar imagens de perfil do usuário, verifique se isso ainda funciona. Se você tiver jornadas críticas do usuário, como finalização de login, com acesso fechado, verifique se elas continuam funcionando.
Nas próximas seções, você vai encontrar informações mais específicas sobre como esses fluxos podem ser afetados.
Identidade federada
Botões de login, como Fazer login com o Google, Login do Facebook e Fazer login com o Twitter, são um sinal definitivo de que seu site está usando um provedor de identidade federado. Como cada provedor de identidade federado terá a própria implementação, a melhor solução é verificar a documentação do seu provedor ou entrar em contato com ele para receber mais orientações.
Se você estiver usando a biblioteca da plataforma JavaScript do Login do Google descontinuada, poderá encontrar informações sobre como migrar para a biblioteca mais recente dos Serviços de Identificação do Google para autenticação e autorização.
A maioria dos sites que usam a biblioteca mais recente dos Serviços de Identificação do Google está pronta para a descontinuação dos cookies de terceiros, já que a biblioteca migrará silenciosamente para o FedCM por questões de compatibilidade. Recomendamos testar seu site com a sinalização de teste de descontinuação de cookies de terceiros ativada e, se necessário, usar a lista de verificação de migração do FedCM para se preparar.
Domínio de login separado
Alguns sites usam um domínio diferente apenas para autenticar usuários que não
se qualificam para cookies do mesmo site, como um site que usa example.com para o site
principal e login.example para o fluxo de login, o que pode exigir o acesso
a cookies de terceiros para garantir que o usuário seja autenticado em ambos
os domínios.
Os possíveis caminhos de migração para esse cenário são:
- Atualize para usar cookies primários ("mesmo site"):mudar a infraestrutura do site para que o fluxo de login seja hospedado no mesmo domínio (ou subdomínio) do site principal, que vai usar apenas cookies primários. Isso pode exigir mais esforço, dependendo de como a infraestrutura está configurada.
- Use Conjuntos de sites relacionados (RWS, na sigla em inglês): os conjuntos de sites relacionados permitem o acesso limitado a cookies entre sites entre um pequeno grupo de domínios relacionados. A RWS é uma API do Sandbox de privacidade criada para oferecer suporte a esse caso de uso. No entanto, o RWS só oferece suporte ao acesso a cookies entre sites em um número limitado de domínios.
- Se você estiver autenticando usuários em mais de cinco domínios associados, confira o FedCM: o gerenciamento de credenciais federadas (FedCM, na sigla em inglês) permite que os provedores de identidade dependam do Chrome para lidar com fluxos relacionados a identidade sem exigir cookies de terceiros. No seu caso, seu "domínio de login" pode atuar como o provedor de identidade da FedCM e ser usado para autenticar usuários em outros domínios.
Vários domínios
Quando uma empresa tem vários produtos hospedados em domínios ou subdomínios diferentes, ela pode querer compartilhar a sessão de usuário entre esses produtos, um cenário que pode exigir o acesso a cookies de terceiros entre vários domínios.
Nesse cenário, hospedar todos os produtos no mesmo domínio geralmente é impraticável. As possíveis soluções nesse caso são:
- Use conjuntos de sites relacionados:quando o acesso a cookies entre sites for necessário entre um pequeno grupo de domínios relacionados.
- Use o Federation Credential Management (FedCM):quando o número de domínios for grande, use um domínio de login separado para atuar como um provedor de identidade e autenticar usuários nos seus sites usando o FedCM.
Soluções de login
Logon único (SSO) de terceiros
Devido à complexidade da implementação de uma solução de SSO, muitas empresas optam por usar um provedor de solução de terceiros para compartilhar o estado de login entre várias origens. Exemplos de provedores incluem Okta, Ping Identity, Google Cloud IAM ou ID do Microsoft Entra.
Ao usar um provedor terceirizado, a melhor abordagem é buscar orientação do provedor sobre como a desativação de cookies de terceiros afetará a solução e qual abordagem ele recomenda para o serviço.
Soluções de SSO de código aberto
Muitas empresas que mantêm as próprias soluções de SSO usam padrões estabelecidos do setor, como OpenID Connect, OAuth ou SAML, ou projetos de código aberto estabelecidos, como Keycloak, WSO2, Auth.js ou Hydra.
Recomendamos que você consulte a documentação do seu provedor para entender como o descontinuação dos cookies pode afetar a solução e o melhor caminho de migração para essa solução específica.
Soluções internas personalizadas
Se a solução de login se enquadrar em um dos casos de uso anteriores e for criada internamente, o artigo Prepare-se para a desativação gradual de cookies de terceiros explica em mais detalhes como auditar o código e se preparar para a descontinuação dos cookies de terceiros.
Tome providências agora!
Se o site se enquadra em um dos casos de uso, há várias soluções disponíveis para lidar com qualquer impacto possível, desde mover o fluxo de autenticação para o domínio principal para que use apenas cookies primários, usar Conjuntos de sites relacionados para permitir o compartilhamento de cookies entre um pequeno número de domínios ou usar o Gerenciamento de credenciais de federação.
O momento de auditar seu serviço e se preparar para a desativação de cookies de terceiros já está.