דפדפני אינטרנט מוציאים משימוש קובצי Cookie של צד שלישי, לכן אתם צריכים לבדוק אם באתר שלכם או על ידי שירותי צד שלישי שהאתר שלכם מסתמך עליהם, או אם קובצי Cookie של צד שלישי נמצאים בשימוש.
הסבר על השימוש בקובצי Cookie של צד שלישי
קובצי Cookie שנשלחים בהקשרים של כמה אתרים, כמו iframes או בקשות למשאבי משנה, מכונים בדרך כלל 'קובצי Cookie של צד שלישי', גם אם הם לא צד שלישי. קובצי cookie של צד שלישי יכולים להגיע מצד שלישי, כמו שירות ניתוח נתונים או טכנולוגיית פרסום, אבל הם יכולים להיות גם מאתר או משירות שלכם שיש לו דומיין שונה מהדף שברמה העליונה, כמו שרת תמונות או מיקרו-אתר.
התרחישים לדוגמה של קובצי Cookie של צד שלישי כוללים:
- תוכן מוטמע ששותף מאתרים אחרים, כמו סרטונים, מפות, דוגמאות קוד ופוסטים ברשתות החברתיות.
- ווידג'טים לשירותים חיצוניים, כמו תשלומים, יומנים, הזמנות והזמנה.
- ווידג'טים כמו לחצנים של רשתות חברתיות או שירותים למניעת הונאה.
- משאבים מרוחקים מסוג
<img>או<script>שמסתמכים על קובצי cookie לשליחה עם בקשה (בדרך כלל משמשים למעקב אחר פיקסלים ולהתאמה אישית של תוכן).
בשנת 2019, דפדפנים שינו את אופן הפעולה של קובצי ה-cookie, וכתוצאה מכך הוגבלו לקובצי cookie גישה של צד ראשון כברירת מחדל.
כל קובץ cookie שמשמש כיום בהקשרים של אתרים צריך להיות מוגדר באמצעות המאפיין SameSite=None.
Set-Cookie: cookie-name=value; SameSite=None; Secure
פירוש הדבר הוא שאפשר לזהות קובצי Cookie של צד שלישי לפי המאפיין SameSite=None שלהם.
בדיקת השימוש בקובצי cookie של צד שלישי
עליכם לחפש בקוד מקרים שבהם הגדרתם את מאפיין קובץ ה-cookie SameSite ל-None. אם ביצעת בעבר שינויים כדי להוסיף את SameSite=None לקובצי ה-cookie בסביבות 2020, השינויים האלה עשויים לשמש כנקודת התחלה טובה.
אם מוצאים קובצי cookie שמסומנים כ-SameSite=None ולא נראה שנעשה בהם שימוש בהקשר של אתרים שונים, בדקו אם זה נעשה בכוונה, כי יכול להיות שנעשה בהם שימוש בהקשר אחר מאתרים שונים. אחרת, יכול להיות ש-SameSite=None הוגדר בטעות וצריך להסיר שימוש מיותר ב-SameSite=None.
קובצי cookie מחולקים למחיצות – אלה שמוגדרים עם המאפיין Partitioned – ימשיכו להישלח אחרי שקובצי cookie של צד שלישי יוצאו משימוש בדפדפנים שתומכים במאפיין הזה.
כלי פיתוח ל-Chrome
בחלונית 'רשת כלי הפיתוח ל-Chrome' מוצגים קובצי cookie שהוגדרו ונשלחו בבקשות. בחלונית 'אפליקציות' אפשר לראות את הכותרת 'קובצי Cookie' בקטע 'אחסון'. אתם יכולים לעיין בקובצי ה-cookie שנשמרו עבור כל אתר שאליו ניגשו כחלק מטעינת הדף. אפשר למיין לפי העמודה SameSite כדי לקבץ את כל קובצי ה-cookie של None.
החל מגרסה 118 של Chrome, בכרטיסייה 'בעיות בכלי הפיתוח' מוצגת הבעיה של שינוי התוכנה שעלול לגרום לכשל, "קובצי cookie שנשלחים בהקשר של אתרים שונים ייחסמו בגרסאות עתידיות של Chrome". בבעיה הזו רשומים קובצי ה-Cookie בדף הנוכחי שעשויים להיות מושפעים מכך.
כלי הניתוח של 'ארגז החול לפרטיות'
בנוסף, פיתחנו את כלי הניתוח של 'ארגז החול לפרטיות' (PSAT) – תוסף של כלי הפיתוח שמאפשר לנתח את השימוש בקובצי cookie במהלך סשנים של גלישה. כך יש דרכים לניפוי באגים בתכונות של ארגז החול לפרטיות ונקודות גישה, כדי לקבל מידע נוסף על היוזמה 'ארגז החול לפרטיות'.
התוסף משלים לכלי הפיתוח יכולות מיוחדות לניתוח ולניפוי באגים של תרחישים שקשורים להוצאה משימוש של קובצי Cookie של צד שלישי ולאמוץ חלופות חדשות לשמירה על הפרטיות.
אפשר להוריד את התוסף מחנות האינטרנט של Chrome או להיכנס למאגר ה-PSAT ול-wiki.
מבררים עם ספקי השירות שלך מצדדים שלישיים
אם אתם מזהים קובצי Cookie שהוגדרו על ידי צדדים שלישיים, עליכם לבדוק מול הספקים האלה אם יש להם תוכניות להפסקת השימוש בקובצי Cookie של צד שלישי. לדוגמה, יכול להיות שתצטרכו לשדרג גרסה של ספרייה שאתם משתמשים בה או לשנות הגדרות אישיות בשירות, או שלא תצטרכו לבצע פעולות במקרה שהצד השלישי מבצע בעצמו את השינויים הנדרשים.
שיפור קובצי ה-Cookie מהדומיין הנוכחי
אם באתר של צד שלישי לא נעשה שימוש בקובץ ה-cookie שלכם, לדוגמה אם הגדרתם קובץ cookie לניהול הסשן באתר והוא אף פעם לא נמצא בשימוש ב-iframe חוצה-אתרים, עליכם לסמן באופן מפורש את קובץ ה-cookie כ-SameSite=Lax או כ-SameSite=Strict. יש כמה ברירות מחדל הגיוניות אחרות שבהן אפשר להשתמש לקובצי Cookie מהדומיין הנוכחי. פרטים נוספים זמינים במאמר מתכונים לקובצי Cookie מהדומיין הנוכחי.