التدقيق في استخدام ملفات تعريف الارتباط



تحقَّق مما إذا كان يتم استخدام ملفات تعريف الارتباط التابعة لجهات خارجية على موقعك الإلكتروني أو من خلال خدمات تابعة لجهات خارجية يعتمد عليها موقعك الإلكتروني.

فهم استخدام ملفات تعريف الارتباط التابعة لجهات خارجية

تُعرف ملفات تعريف الارتباط المُرسَلة في سياقات على مواقع إلكترونية مختلفة ، مثل إطارات iframe أو طلبات الموارد الفرعية، بشكل عام باسم ملفات تعريف الارتباط التابعة لجهات خارجية، حتى إذا لم تكن من جهة خارجية. يمكن أن تأتي ملفات تعريف الارتباط التابعة لجهات خارجية من جهة خارجية، مثل خدمة إحصاءات أو تقنية إعلان، ولكن يمكن أن تأتي أيضًا من موقع إلكتروني أو خدمة خاصة بك لها نطاق مختلف عن الصفحة ذات المستوى الأعلى، مثل خادم صور أو موقع إلكتروني صغير.

تشمل حالات استخدام ملفات تعريف الارتباط التابعة لجهات خارجية ما يلي:

  • المحتوى المضمَّن الذي تمت مشاركته من مواقع إلكترونية أخرى، مثل الفيديوهات والخرائط وعيّنات الرموز البرمجية والمشاركات على وسائل التواصل الاجتماعي
  • التطبيقات المصغّرة للخدمات الخارجية، مثل الدفعات والتقاويم والحجوزات
  • التطبيقات المصغّرة، مثل الأزرار المخصصة لوسائل التواصل الاجتماعي أو خدمات مكافحة الاحتيال
  • موارد <img> أو <script> البعيدة التي تعتمد على ملفات تعريف الارتباط لإرسالها مع الطلب (تُستخدَم عادةً لتتبُّع وحدات البكسل وتخصيص المحتوى)
مخطّط بياني يعرض ملفّ تعريف ارتباط تابعًا لجهة خارجية
مثال على ملف تعريف ارتباط تابع لجهة خارجية

في عام 2019، غيّرت المتصفّحات سلوك ملفات تعريف الارتباط، فأصبحت تسمح تلقائيًا بالوصول إلى ملفات تعريف الارتباط للطرف الأول فقط. يجب ضبط أي ملفات تعريف ارتباط مستخدَمة في السياقات على مستوى مواقع إلكترونية متعددة اليوم باستخدام السمة SameSite=None.

Set-Cookie: cookie-name=value; SameSite=None; Secure

وهذا يعني أنّه يمكن تحديد ملفات تعريف الارتباط التابعة لجهات خارجية من خلال سمة SameSite=None.

تدقيق استخدام ملفات تعريف الارتباط التابعة لجهات خارجية

عليك البحث في الرمز البرمجي عن الحالات التي ضبطت فيها سمة ملف تعريف الارتباط SameSite على None. إذا أجريت تغييرات في السابق لإضافة SameSite=None إلى ملفات تعريف الارتباط في العام 2020 تقريبًا، قد تقدّم هذه التغييرات نقطة بداية جيدة.

إذا عثرت على ملفات تعريف ارتباط تم وضع علامة SameSite=None عليها ويبدو أنّها لا تُستخدَم في سياق على مواقع إلكترونية مختلفة، تحقّق ممّا إذا كان ذلك مقصودًا، لأنّه قد يتم استخدامها في سياق على مواقع إلكترونية مختلفة في مكان آخر. بخلاف ذلك، قد يكون قد تم ضبط SameSite=None عن غير قصد ويجب إزالة أي استخدام غير ضروري SameSite=None.

سيستمر عرض ملفات تعريف الارتباط المقسّمة، وهي ملفات تعريف الارتباط التي تم ضبطها باستخدام السمة Partitioned، حتى في حال حظر ملفات تعريف الارتباط التابعة لجهات خارجية على المتصفّحات التي تتيح هذه السمة.

أدوات مطوري البرامج في Chrome

تعرض لوحة "الشبكة" في "أدوات مطوّري البرامج في Chrome" ملفات تعريف الارتباط التي تم ضبطها وإرسالها في الطلبات. في لوحة "التطبيق"، يمكنك الاطّلاع على عنوان "ملفات تعريف الارتباط" ضمن "مساحة التخزين". يمكنك تصفُّح ملفات تعريف الارتباط المخزّنة لكل موقع إلكتروني تم الوصول إليه كجزء من تحميل الصفحة. يمكنك الترتيب حسب عمود SameSite لتجميع جميع ملفات تعريف الارتباط None.

علامة التبويب &quot;مشاكل أدوات المطوّرين&quot; تعرض تحذيرًا بشأن ملفات تعريف الارتباط التي تحمل سمة SameSite=None
علامة التبويب "المشاكل في أدوات مطوّري البرامج"

اعتبارًا من الإصدار 118 من Chrome، تعرض علامة التبويب "مشاكل أدوات مطوّري البرامج" مشكلة التغيير الذي قد يؤدي إلى عطل، وهي "سيتم حظر ملفات تعريف الارتباط المُرسَلة في سياق مواقع إلكترونية متعددة في إصدارات Chrome المستقبلية". تُدرج المشكلة ملفات تعريف الارتباط التي يُحتمل أن تكون متأثرة بالصفحة الحالية.

أداة تحليل "مبادرة حماية الخصوصية"

أنشأنا أيضًا أداة تحليل "مبادرة حماية الخصوصية" (PSAT)، وهي إضافة DevTools لتسهيل تحليل استخدام ملفات تعريف الارتباط أثناء جلسات التصفّح. يقدّم ذلك مسارات تصحيح الأخطاء لملفات تعريف الارتباط وميزات "مبادرة حماية الخصوصية"، مع نقاط وصول للاطّلاع على مزيد من المعلومات عن "مبادرة حماية الخصوصية".

لقطة شاشة لأداة تحليل &quot;مبادرة حماية الخصوصية&quot; (PSAT) تعرض عدد ملفات تعريف الارتباط وأنواعها المستخدَمة في نافذة منبثقة وقائمة ملفات تعريف الارتباط التي تليها مع سبب حظرها
أداة تحليل "مبادرة حماية الخصوصية" (PSAT)

تُكمل هذه الإضافة "أدوات المطوّر" من خلال توفير إمكانات مخصّصة لتحليل سيناريوهات استخدام ملفات تعريف الارتباط التابعة لجهات خارجية وتصحيح أخطاءها، واستخدام بدائل جديدة تحافظ على الخصوصية.

يمكنك تنزيل الإضافة من سوق Chrome الإلكتروني أو الوصول إلى مستودع PSAT وموسوعته.

سجلّ شبكة Chrome

يتيح متصفّح Chrome تسجيل ملف سجلّ للأحداث والحالة على مستوى الشبكة للمتصفّح.

ويمكن أن يكون ذلك مفيدًا لإجراء تحليل معمّق لكيفية ضبط ملفات تعريف الارتباط أو حظرها ووقت ذلك.

صفحة chrome://net-export
صفحة chrome://net-export

عرض أحداث ملفات تعريف الارتباط:

  1. افتح صفحة chrome://net-export.
  2. انقر على بدء التسجيل على القرص.
  3. انقر على إيقاف التسجيل.
  4. انقر على إظهار الملف.
  5. افتح الملف في عارض سجلّات الشبكة.
  6. اختَر "الأحداث" (على يمين الصفحة).
  7. اختَر عناصر مثل COOKIE_STORE أو URL_REQUEST.
  8. اطّلِع على مخرجات السجلّ على يسار الصفحة. (قد تحتاج إلى سحب المقسم لليسار للاطّلاع على المحتوى).
إخراج chrome://net-export الذي يتم عرضه في &quot;عارض سجلّات الشبكة&quot;
عرض ناتج chrome://net-export في "عارض سجلّات الشبكة"

مزيد من المعلومات: استخدام ملف NetLog

التواصل مع مقدّمي الخدمات التابعين لجهات خارجية

إذا رصدت ملفات تعريف ارتباط تم ضبطها من قِبل جهات خارجية، عليك التواصل مع هؤلاء الموفّرين لمعرفة ما إذا كانوا يعتزمون إيقاف ضبط ملفات تعريف الارتباط على مواقع إلكترونية مختلفة. قد تحتاج إلى ترقية إصدار المكتبة التي تستخدمها، أو تغيير خيار الإعدادات في الخدمة، أو عدم اتّخاذ أي إجراء إذا كانت الجهة الخارجية تتخذ التغييرات الضرورية بنفسها.

تحسين ملفات تعريف الارتباط للطرف الأول

إذا لم يتم استخدام ملف تعريف الارتباط مطلقًا على موقع إلكتروني تابع لجهة خارجية، على سبيل المثال، إذا ضبطت ملف تعريف ارتباط لإدارة الجلسة على موقعك الإلكتروني ولم يتم استخدامه مطلقًا في إطار iframe على مواقع إلكترونية مختلفة، عليك وضع علامة على ملف تعريف الارتباط صراحةً على أنّه SameSite=Lax أو SameSite=Strict. هناك عدد من الإعدادات التلقائية الأخرى المعقولة لاستخدامها مع ملفات تعريف الارتباط للطرف الأول. لمزيد من التفاصيل، يمكنك الاطّلاع على وصفات ملفات تعريف الارتباط التابعة للطرف الأول.