Peça mais tempo de migração com o teste de descontinuação dos cookies de terceiros

Para facilitar os testes, o Chrome restringiu cookies de terceiros por padrão para 1% dos usuários. O Chrome planeja aumentar as restrições de cookies de terceiros para 100% dos usuários a partir do início de 2025, sujeito a todas as preocupações de concorrência restantes da Autoridade de Concorrência e Mercados (CMA) do Reino Unido. Para facilitar a transição, oferecemos um teste de descontinuação de terceiros que permite que sites e serviços incorporados solicitem mais tempo para migrar das dependências de cookies de terceiros para casos de uso que não sejam de publicidade.

O registro para esse teste de descontinuação começou na semana de 4 de dezembro de 2023. O teste de descontinuação vai começar em janeiro de 2024 e terminar em 27 de dezembro de 2024. Esperamos que os desenvolvedores façam as mudanças e os planos necessários até a data de término do teste.

Reconhecemos que há um curto período entre o momento em que os registros de teste de descontinuação são abertos e quando o período do Teste facilitado do Chrome começa a bloquear 1% dos cookies. Para lidar com essas restrições de tempo, o Chrome está fornecendo um período de carência para as origens participantes enquanto elas trabalham para implantar tokens de teste de descontinuação. Durante o período de carência, que vai até 30 de junho de 2024, as origens registradas para o teste de descontinuação terão acesso a cookies de terceiros no Chrome, mesmo que ainda não tenham implantado os tokens. O objetivo desse período de carência é evitar problemas de compatibilidade com a Web durante a fase de transição. As origens participantes precisam implantar tokens de teste de descontinuação antes do final do período de carência.

Testes de descontinuação

Os testes de descontinuação são uma opção padrão oferecida pelo Chrome para permitir que os sites se registrem para aumentar o tempo de migração da funcionalidade legada que está sendo removida. Um teste de descontinuação é um tipo de teste de origem que permite que um recurso seja reativado temporariamente.

Esse teste é destinado a incorporações e serviços que definem cookies de terceiros e atendem aos nossos critérios de qualificação descritos na seção a seguir. Em outras palavras, se a incorporação ou o serviço for de terceiros, será possível se registrar no teste de descontinuação para reativar temporariamente os cookies de terceiros em todos os contextos em que a incorporação ou o serviço estiver incluído. O teste só se aplica à origem incorporada registrada, e não a todo o domínio de nível superior do site que os usuários acessam.

Sites de nível superior que usam terceiros que dependem de cookies não precisam se inscrever nesse teste de descontinuação. Faça uma auditoria dos cookies de terceiros usados no seu site e entre em contato com os provedores terceirizados para garantir que eles estejam preparados para a descontinuação.

Critérios de qualificação e processo de análise

Este teste de descontinuação é diferente dos testes anteriores com a introdução de um processo de revisão e aprovação para participação. O objetivo é encontrar um equilíbrio entre melhorar a privacidade das pessoas na Web e, ao mesmo tempo, permitir que os serviços de que eles dependem solicitem mais tempo para migrar, se necessário.

Os princípios que orientam esse teste de descontinuação são:

• Preservação da funcionalidade crítica ao usuário:esse teste de descontinuação destinado a provedores de terceiros que demonstram falha funcional nas jornadas do usuário.
• Limitação do rastreamento de usuários:o teste de descontinuação não é compatível com o rastreamento entre sites para fins de publicidade e, portanto, as incorporações e os serviços de terceiros usados para publicidade não estão qualificados.

A não qualificação dos casos de uso de publicidade também ajuda a garantir que o teste de descontinuação não interfira nos testes do setor planejados para o início de 2024, conforme descrito pela Autoridade de Concorrência e Mercados. Isso inclui domínios relacionados a publicidade que também são usados para fins não publicitários.

Inicialmente, o Chrome trabalhará com o Disconnect.me, líder do setor de privacidade na Internet, e implementará as listas de proteção de rastreador do Desconectar para identificar os scripts e domínios categorizados como publicidade. A desconexão já é usada por outros navegadores para fins semelhantes na Web.

A seguir, o processo de solicitação de registro:

• Se a origem de terceiros corresponder a um domínio de publicidade conhecido, inclusive se a origem corresponder a uma entrada na lista de publicidade "Desconectar", o pedido de registro será recusado. Em geral, as entradas na lista corresponderão a todos os subdomínios abaixo da origem especificada. No entanto, algumas entradas incluem um elemento de caminho. Essas entradas mais específicas corresponderão à origem especificada, mas não aos subdomínios.
• As etapas para reproduzir uma experiência problemática voltada ao usuário precisam ser fornecidas. Especificamente, essa deve ser uma experiência para o usuário operando o dispositivo em que o cookie está armazenado, e não para um usuário que realize análises posteriores de dados. Se não conseguirmos validar uma experiência do usuário corrompida, a solicitação de registro vai ser rejeitada.
• Caso contrário, o pedido de registro vai ser aprovado.
• Se você declarar que uma origem é "semelhante" a um aplicativo aprovado anteriormente, forneça uma descrição da relação entre as origens.

Planejamos oferecer um processo de contestação se a origem de registro acreditar que mais informações podem esclarecer uma decisão de revisão. O responsável pelo registro pode solicitar uma contestação se inscrevendo novamente no console do teste de origem. O objetivo das contestações é o caso de solicitações rejeitadas devido à ausência das informações solicitadas (bug de falha conhecidas e/ou etapas de reprodução de falha) e/ou se a origem de registro acredita que mais informações podem atender a esses requisitos para esclarecer uma decisão de análise.

Também aprovamos casos de uso antiabuso e antifraude em que possamos encontrar evidências que corroborem. Agradecemos feedback sobre como avaliar melhor esses casos de uso.

Solicitar o teste de descontinuação

Inclua etapas de reprodução que nossa equipe possa usar para verificar a falha funcional. Como alternativa, se for mais fácil e/ou se sua funcionalidade for controlada por login ou similar, forneça um link para uma gravação das etapas para reproduzir o problema usando o Gravador do Chrome DevTools.

1. Navegue até Teste de descontinuação de cookies de terceiros e clique em "Registrar".
2. Para "Origem da Web", forneça a origem que exibe a página ou os scripts incorporados.
3. A opção "Correspondência de terceiros" dependerá de como você precisa fornecer o token. As opções são explicadas com mais detalhes em Adicionar o token de teste.
   • Se você estiver fornecendo o token em um cabeçalho HTTP ou metatag nas suas próprias páginas incorporadas, não marque a opção "Correspondência de terceiros".
   • Se você estiver injetando o token com JavaScript em um site diferente, marque "Correspondência de terceiros".
   • Se precisar fazer as duas coisas, será necessário fazer registros separados.
4. Se você hospeda conteúdo entre sites em vários subdomínios, marque a opção "Preciso de um token para corresponder a todos os subdomínios da origem".
   • Com essa opção selecionada, o token fornecido corresponderá ao domínio registrado e aos domínios abaixo dele. Por exemplo: registre https://example.com para corresponder a example.com, www.example.com, foo.example.com e bar.foo.example.com. Se você registrar https://www.example.com, seu token vai corresponder a www.example.com e foo.www.example.com, mas não a foo.example.com.
   • Os tokens vão corresponder a vários subdomínios de maneira semelhante à correspondência de caracteres curinga, por exemplo, *.<domain>. Solicite um token para example.com e ele pode ser fornecido em a.example.com, b.example.com. O acesso a cookies de terceiros só será reativado para as origens específicas que fornecem o token, não para todos os subdomínios. Consulte Quais cookies são ativados quando a correspondência de subdomínio está ativada?.
   • Se você hospedar conteúdo entre sites em origens separadas que não estão no mesmo domínio, será necessário fazer registros separados para cada origem.
5. Marque todas as caixas de seleção para confirmar todas as condições incluídas em "Divulgação e confirmação".
6. Envie a solicitação.
7. Precisamos de mais informações para processar sua solicitação. Você vai receber uma notificação por e-mail com um tíquete gerado automaticamente com as seguintes informações:
   • O número de subdomínios vinculados à origem solicitada
   • O ID ou link dos bugs do repositório de falha de terceiros associados, informados anteriormente em goo.gle/report-3pc-broken.
   • Outras informações/contextos sobre a falha/caso de uso que você quer que sejam considerados. Em casos de contestação de uma solicitação de teste negada, explique por que/como sua origem atende aos critérios descritos para o teste.

Depois de enviada, vamos analisar a solicitação. Você será notificado quando ela for concluída, se for necessário fornecer mais informações e informar se a solicitação foi aprovada ou negada. Você também receberá o status e a justificativa do resultado. Se aprovado, você poderá fornecer o token de teste conforme necessário. Se ela for negada, siga as orientações no tíquete de solicitação.

Definir sinalizações para teste

No momento, recomendamos que você defina as sinalizações a seguir, disponíveis no Chrome 123, para permitir testes eficazes. Essa combinação de configurações de sinalização ajudará a replicar a experiência do usuário no Modo B.

• chrome://flags/#third-party-cookie-deprecation-trial → enabled
  Esse é o padrão. Permitir a participação no teste.

• chrome://flags/#tracking-protection-3pcd → enabled
  Ativar a Proteção antirrastreamento: mostrar a interface do ícone de olho na barra de endereço para permitir que o usuário ative temporariamente cookies de terceiros para um site e forneça chrome://settings/trackingProtection em vez de chrome://settings/cookies.

• chrome://flags/#tpcd-metadata-grants → disabled
  Faça o Chrome se comportar como se o período de carência não estivesse em vigor. Isso pode ser usado para verificar se o site implantou corretamente os tokens de teste de descontinuação antes do término do período de carência (para um site sujeito ao período de carência).

• chrome://flags/#tpcd-heuristics-grants → disabled
  Não permite mitigações baseadas em heurística. Isso pode ser útil para testar se outras correções de longo prazo (sem cookies de terceiros) estão funcionando conforme o esperado sem mitigações heurísticas e se a participação no teste de descontinuação está funcionando conforme o esperado.

Se você precisar testar manualmente se o período de carência está funcionando conforme esperado, antes de testar a implantação, será necessário enable chrome://flags/#tpcd-metadata-grants em vez de desativá-lo.

Adicionar o token de teste

Para saber mais, consulte Começar com testes de origem, Testes de origem de terceiros e Resolver problemas de testes de origem do Chrome.

Inclua o token de teste em todas as respostas de página em que você quer definir ou enviar cookies em um contexto entre sites.

Forneça o token em um cabeçalho HTTP

Se você precisar reativar os cookies de terceiros de uma página incorporada em um iframe entre sites, inclua o cabeçalho HTTP Origin-Trial na resposta da página:

Origin-Trial: TOKEN_GOES_HERE

Isso corresponde a não ativar a "correspondência de terceiros" no registro de teste de descontinuação, já que você fornece o token nas suas próprias respostas.

Essa resposta da página pode definir um cookie. As solicitações subsequentes para a mesma origem, como sub-recursos ou navegações dessa página, vão incluir os cookies entre sites do site e também definir cookies.

Se você precisar que cookies entre sites estejam na primeira solicitação para sua origem na sessão, também é possível usar o cabeçalho Critical-Origin-Trial transmitindo o nome do teste:

Critical-Origin-Trial: Tpcd

Isso fará com que o navegador tente fazer a solicitação novamente com cookies de terceiros ativados.

O teste de descontinuação é fornecido como um teste persistente, o que significa que, quando o token é recebido pelo navegador, o comportamento do teste é aplicado até que um iframe seja carregado sem um token de teste. É recomendável enviar o token de teste em cada carregamento de iframe de maneira consistente.

Forneça o token em uma metatag

Em uma página, é possível usar uma metatag no documento <head>:

<meta http-equiv="origin-trial" content="TOKEN_GOES_HERE">

A metatag vai ativar cookies entre sites para solicitações subsequentes ou o JavaScript na página, mas será necessário usar o cabeçalho HTTP se você precisar que os cookies atuais sejam enviados na solicitação inicial.

Injetar o token com JavaScript

Se você precisar ativar cookies de terceiros para sua origem antes ou sem exibir sua própria solicitação de página, por exemplo, se os cookies forem necessários em uma solicitação de imagem entre sites ou se você pretende criar um iframe com JavaScript, injete o token no site de nível superior usando JavaScript:

const otMeta = document.createElement('meta');
otMeta.httpEquiv = 'origin-trial';
otMeta.content = 'TOKEN_GOES_HERE';
document.head.append(otMeta);

Para permitir isso, ative a "Correspondência de terceiros" no registro de teste de descontinuação, já que você injeta o token da sua origem (o terceiro) em um site diferente.

Um token com a correspondência de terceiros ativada pode ser injetado em qualquer origem, incluindo a sua, e ele funcionará.

O teste persistente será desativado se um iframe for carregado sem o token. É preciso fornecer consistentemente o token de teste em todos os iframes carregados, mesmo que o teste tenha sido ativado com um carregamento de script de terceiros originalmente.

Validar seu token

Abra o Chrome DevTools, selecione o painel Application e expanda a guia Frames. Ao selecionar qualquer frame, a seção "Testes de origem" vai aparecer, se algum token tiver sido fornecido. Se você estiver injetando o token no site de nível superior, você verá isso na entrada "superior". Caso contrário, selecione o frame que corresponde à página incorporada.

Na seção "Testes de origem", se você tiver fornecido um token, vai aparecer uma entrada para "Tpcd". Se isso tiver ativado o recurso, você verá o status verde "Ativado". Caso contrário, você verá um status de erro em vermelho e poderá expandir a entrada para ver o problema.

Apenas um token válido é necessário para ativar o teste de descontinuação. Se você fez o registro para correspondência primária e de terceiros, não será um problema se você fornecer ambos os tokens na página. Por exemplo, se você tiver uma única página que pode ser incorporada de maneiras diferentes, não vai ser necessário escolher um token dinamicamente. É possível fornecer ambos para que o teste seja ativado em qualquer um dos contextos.

Quais cookies estão ativados?

O teste de descontinuação só ativa cookies de terceiros para a origin registrada para o teste. Após a ativação, cookies de terceiros estarão presentes nas solicitações de iframe e sub-recursos para essa origem. Cookies de terceiros também estarão disponíveis com document.cookie em iframes com essa origem.

Os atributos Domain do cookie não são considerados aqui. Somente a origem do URL da solicitação é considerada. Quando é determinado que uma solicitação tem cookies de terceiros, todos esses cookies são anexados normalmente, mesmo que o domínio deles seja mais permissivo.

Por exemplo, se https://one.test.example estiver registrado e o token for fornecido em um iframe https://one.test.example:

• https://one.test.example/image.jpg vai receber cookies definidos de https://one.test.example
• https://one.test.example/image.jpg receberá cookies definidos de outras origens com Domain=.test.example.
• As solicitações https://test.example/image.jpg ou https://two.test.example/image.jpg não receberão cookies de terceiros porque não têm a mesma origem.

Quais cookies são ativados quando a correspondência de subdomínio está ativada?

A opção "corresponder a todos os subdomínios" permite que um único token seja usado na origem de registro ou em qualquer origem com um subdomínio mais específico. Um token para https://test.example com correspondência de subdomínio pode ser usado para ativar o teste com iframes https://test.example, https://one.test.example ou https//two.test.example e carregamentos de scripts de terceiros.

Além disso, quando a correspondência de subdomínio estiver ativada, os cookies de terceiros também estarão disponíveis em solicitações e em iframes associados aos subdomínios correspondentes. Por exemplo, se https://test.example usar a correspondência de subdomínio, as solicitações de recursos secundários, como https://cdn.one.test.example/image.jpg, receberão cookies de terceiros.

A desativação do teste não considera a correspondência do subdomínio. Para desativar o teste, um iframe que corresponda exatamente à origem no registro precisa ser carregado sem um token. Portanto, um registro de https://test.example com correspondência de subdomínio só pode ser desativado por um iframe https://test.example sem um token. Isso pode mudar no futuro. Por isso, recomendamos fornecer um token em todos os iframes de subframes quando você quiser ativar o teste e remover os tokens de todos os iframes quando quiser desativar o teste.

Solução de problemas com tokens de teste

Resolver problemas de testes de origem do Chrome fornece uma lista de verificação abrangente para ajudar você a depurar o registro e a implantação do token de teste.

Existem alguns problemas frequentes que podem ser encontrados com este teste:

• Com a opção "Preciso de um token para corresponder a todos os subdomínios da origem" selecionada, o token fornecido corresponderá ao domínio registrado e aos domínios abaixo dele. Por exemplo: registre https://example.com para corresponder a example.com, www.example.com, foo.example.com e bar.foo.example.com. Se você registrar https://www.example.com, seu token corresponderá a www.example.com e foo.www.example.com, mas não a foo.example.com.
• Os sites ou serviços de terceiros incorporados ao seu site precisam se registrar no teste. Não solicite um domínio que não seja controlado por você.
• Se você cometer um erro no registro do teste de origem, precisará fazer um novo registro para corrigir os erros e receber um novo token.

Perguntas frequentes

1. E se eu tiver dúvidas sobre a lista Disconnect.me?
   • Entre em contato com Desconectar em support@disconnect.me, já que não gerenciamos a lista de desconexão. Para mais informações, consulte a página de proteção do rastreador.
2. Posso me inscrever no período de teste de descontinuação se meu domínio for usado para fins publicitários e não publicitários?
   • Incorporações e serviços de terceiros usados para publicidade não estão qualificados para o teste de descontinuação, pelos motivos explicados anteriormente neste blog. Isso inclui domínios relacionados a publicidade que também são usados para fins não publicitários. Para saber mais, consulte a seção Critérios de qualificação e processo de revisão.
3. Os sites poderão ver quais parceiros se inscreveram no teste de descontinuação? Será possível limitar o registro de parceiros?
   • Sim, os sites podem ver quais incorporações e serviços dependem de um token de teste de descontinuação, conferindo as informações do token no painel "Aplicativo" do Chrome DevTools. Consulte Resolver problemas de testes de origem do Chrome para mais informações.
   • Os sites de nível superior não poderão limitar o registro nos parceiros ou nas incorporações e serviços na página. Entre em contato com o parceiro se quiser.
4. Qual é a diferença entre esse teste e outros testes, como o teste de origem de redução do user agent?
   • A principal diferença entre esse teste de descontinuação é o novo processo de registro, que envolve atender aos critérios de participação e à nova interface e páginas no console do teste de origem.
   • A segunda diferença é que o recurso é exclusivo para os sites incorporados de terceiros resolverem a quantidade máxima de problemas de compatibilidade da Web em vários sites/clientes de serviços.
5. Haverá um teste de descontinuação dos cookies de terceiros em que os sites de nível superior poderão se inscrever para ativar os 3PCs em todo o site?
   • No momento, estamos focando em incorporações e serviços de terceiros. Recomendamos que os sites próprios continuem fazendo mudanças diretamente neles para corrigir o problema e incentivamos os terceiros incorporados a se inscreverem nesse teste de descontinuação.
6. Quanto tempo vai levar para analisar meu aplicativo de teste de descontinuação? Onde posso verificar o status da minha inscrição?
   • Os tempos de resposta podem variar. Recomendamos que você inicie o processo de registro o mais rápido possível para garantir que esteja preparado antes da descontinuação de 1% dos cookies de terceiros no início do primeiro trimestre. Se você não receber nenhuma resposta dentro de uma a duas semanas após o envio do registro, entre em contato com 3pcd-deprecationtrial@google.com.
   • Thread de bug para conversa aberta, status de decisão e justificativa.
7. Nosso registro de teste de descontinuação foi aprovado e implantamos um token de teste conforme recomendado. No entanto, o teste de descontinuação não está funcionando como esperado. O que devemos fazer?
   • A página Resolver problemas de testes de origem do Chrome fornece uma lista de verificação para solucionar problemas de testes de origem. Especificamente, para esse teste de descontinuação, verifique se você se registrou para a origem correta, escolheu um token de terceiros, se necessário, e forneceu corretamente o token em um cabeçalho HTTP, metatag ou (para um token de terceiros) usando JavaScript. Saiba mais sobre testes de origem de terceiros em Testes de origem de terceiros. Além disso, há uma demonstração do teste de descontinuação em Demonstração do teste de origem do Chrome: token injetado por script de terceiros. Se você continuar tendo problemas, entre em contato com origin-trials-support@google.com.