Проведите аудит использования файлов cookie

Проверьте, используются ли сторонние файлы cookie на вашем веб-сайте или сторонними службами, от которых зависит ваш сайт.

Понимание использования сторонних файлов cookie

Файлы cookie, отправляемые в межсайтовом контексте, таком как iframe или запросы подресурсов, обычно называются сторонними файлами cookie, даже если они исходят не от третьей стороны. Сторонние файлы cookie могут исходить от третьей стороны, например, от аналитической службы или рекламной технологии, но они также могут исходить от вашего сайта или службы, домен которой отличается от страницы верхнего уровня, например сервера изображений. или микросайт.

Варианты использования сторонних файлов cookie включают:

• Встроенный контент, опубликованный с других сайтов, например видео, карты, примеры кода и публикации в социальных сетях.
• Виджеты для внешних сервисов, таких как платежи, календари, бронирование и бронирование.
• Виджеты, такие как кнопки социальных сетей или службы по борьбе с мошенничеством.
• Удаленные ресурсы <img> или <script> , которые используют файлы cookie, отправляемые вместе с запросом (обычно используются для отслеживания пикселей и персонализации контента).

В 2019 году браузеры изменили поведение файлов cookie, по умолчанию ограничив доступ к файлам файлов первой стороны . Любые файлы cookie, используемые сегодня в межсайтовом контексте, должны быть установлены с атрибутом SameSite=None .

Set-Cookie: cookie-name=value; SameSite=None; Secure

Это означает, что сторонние файлы cookie можно идентифицировать по атрибуту SameSite=None .

Проведите аудит использования сторонних файлов cookie

Вам следует поискать в своем коде случаи, когда для атрибута cookie SameSite установлено значение None . Если вы ранее вносили изменения, добавляя SameSite=None в свои файлы cookie примерно в 2020 году, эти изменения могут стать хорошей отправной точкой.

Если вы обнаружите файлы cookie с пометкой SameSite=None , которые, похоже, не используются в межсайтовом контексте, проверьте, сделано ли это намеренно, поскольку они могут использоваться в межсайтовом контексте где-то еще. В противном случае SameSite=None мог быть установлен случайно, и вам следует удалить ненужное использование SameSite=None .

Разделенные файлы cookie , установленные с помощью атрибута Partitioned , будут продолжать доставляться, даже если сторонние файлы cookie ограничены в браузерах, поддерживающих этот атрибут .

Инструменты разработчика Chrome

На панели Chrome DevTools Network отображаются файлы cookie, установленные и отправленные по запросам. На панели приложения вы можете увидеть заголовок «Файлы cookie» в разделе «Хранилище». Вы можете просматривать файлы cookie, сохраненные для каждого сайта, к которому осуществляется доступ, в рамках загрузки страницы. Вы можете выполнить сортировку по столбцу SameSite , чтобы сгруппировать все файлы cookie None .

В Chrome 118 на вкладке «Проблемы DevTools» отображается проблема с критическими изменениями: «Файлы cookie, отправленные в межсайтовом контексте, будут заблокированы в будущих версиях Chrome». В проблеме перечислены потенциально затронутые файлы cookie для текущей страницы.

Инструмент анализа конфиденциальности в песочнице

Мы также создали инструмент анализа конфиденциальной изолированной программной среды (PSAT) — расширение DevTools, облегчающее анализ использования файлов cookie во время сеансов просмотра. Это обеспечивает пути отладки файлов cookie и функций Privacy Sandbox, а также точки доступа, позволяющие узнать больше об инициативе Privacy Sandbox.

Расширение дополняет DevTools специализированными возможностями для анализа и отладки сценариев, связанных с использованием сторонних файлов cookie, а также внедрением новых альтернатив, сохраняющих конфиденциальность .

Вы можете загрузить расширение из Интернет-магазина Chrome или получить доступ к репозиторию PSAT и вики .

Сетевой журнал Chrome

Chrome позволяет записывать в файл журнала события и состояние сети браузера.

Это может быть полезно для глубокого анализа того, как и когда файлы cookie устанавливаются или блокируются.

Просмотр событий файлов cookie:

1. Откройте страницу chrome://net-export .
2. Нажмите «Начать запись на диск» .
3. Нажмите «Остановить ведение журнала» .
4. Нажмите «Показать файл» .
5. Откройте файл в средстве просмотра сетевых журналов .
6. Выберите «События» (слева).
7. Выберите такие элементы, как COOKIE_STORE или URL_REQUEST .
8. Просмотрите вывод журнала справа. (Возможно, вам придется перетащить разделитель влево, чтобы увидеть содержимое.)

Узнайте больше: Использование дампа NetLog .

Обратитесь к сторонним поставщикам услуг.

Если вы обнаружите файлы cookie, установленные третьими лицами, вам следует уточнить у этих поставщиков, планируют ли они отказаться от установки межсайтовых файлов cookie. Возможно, вам придется обновить версию используемой вами библиотеки, изменить параметр конфигурации в службе или не предпринимать никаких действий, если третья сторона сама вносит необходимые изменения.

Улучшите свои собственные файлы cookie

Если ваш файл cookie никогда не используется на стороннем сайте, например, если вы установили файл cookie для управления сеансом на своем сайте и он никогда не используется в межсайтовом iframe, вам следует явно пометить файл cookie как SameSite=Lax или SameSite=Strict . Существует ряд других разумных значений по умолчанию, которые можно использовать для основных файлов cookie. Для получения более подробной информации ознакомьтесь с рецептами основных файлов cookie .