Estamos nos aproximando da descontinuação do uso de cookies de terceiros, é hora de tomar providências caso seu site os utilize. Para facilitar os testes, o Chrome restringiu cookies de terceiros para 1% dos usuários a partir de 4 de janeiro de 2024. O Chrome planeja aumentar as restrições de cookies de terceiros para 100% dos usuários a partir do terceiro trimestre de 2024, sujeito a questões de concorrência restantes da Autoridade de Concorrência e Mercados do Reino Unido.
Nosso objetivo com o Sandbox de privacidade é reduzir o rastreamento entre sites, além de permitir a funcionalidade que mantém o conteúdo e os serviços on-line acessíveis livremente para todos. A descontinuação e a remoção de cookies de terceiros encapsulam o desafio, já que eles permitem recursos essenciais para login, proteção contra fraudes, publicidade e, em geral, a capacidade de incorporar conteúdo avançado de terceiros aos sites. Ao mesmo tempo, eles são os principais capacitadores do rastreamento entre sites.
No nosso marco anterior, lançamos várias APIs que oferecem uma alternativa com foco na privacidade ao status quo atual em casos de uso como identidade, publicidade e detecção de fraudes. Com alternativas em vigor, podemos começar a eliminar gradualmente os cookies de terceiros.
Nesta série de contagem regressiva, vamos mostrar o cronograma e as ações imediatas que você pode realizar para garantir que seus sites estejam preparados.
Descontinuação de 1% de cookies de terceiros e teste facilitado pelo Chrome
No cronograma de privacysandbox.com, você encontra dois marcos no quarto trimestre de 2023 e no primeiro trimestre de 2024, como parte dos modos de teste facilitado pelo Chrome. Esse teste é feito principalmente para organizações que testam as APIs de relevância e medição do Sandbox de privacidade. No entanto, como parte do processo, vamos desativar os cookies de terceiros para 1% dos usuários do Chrome Stable.
Isso significa que, a partir do início de 2024, você vai notar um aumento na parcela de usuários do Chrome no seu site com cookies de terceiros desativados, mesmo que você não participe ativamente dos testes facilitados pelo Chrome. Esse período de teste continua até o terceiro trimestre de 2024, quando, após a consulta à CMA e sujeito a questões de concorrência, planejamos começar a desativar os cookies de terceiros para todos os usuários do Chrome.
Preparar-se para a desativação dos cookies de terceiros
O processo foi dividido nessas etapas principais, em detalhes abaixo, para garantir que você esteja preparado para que o site funcione sem cookies de terceiros:
- Faça auditoria do uso de cookies de terceiros.
- Faça testes para verificar se há falhas.
- Para cookies entre sites que armazenam dados por site, como uma incorporação, considere usar
Partitionedcom CHIPS. - Para cookies entre sites em um pequeno grupo de sites vinculados significativamente, considere usar conjuntos de sites relacionados.
- Em outros casos de uso de cookies de terceiros, migre para as APIs da Web relevantes.
1. Audite o uso de cookies de terceiros
Cookies de terceiros podem ser identificados pelo valor SameSite=None. Pesquise no seu código para procurar instâncias em que o atributo SameSite foi definido com esse valor. Se você já fez mudanças para adicionar SameSite=None aos cookies por volta de 2020, essas mudanças podem ser um bom ponto de partida.
Chrome DevTools
O painel Network do Chrome DevTools mostra os cookies definidos e enviados mediante solicitações. No painel "Application", você verá o cabeçalho "Cookies" em "Armazenamento". Você pode navegar pelos cookies armazenados para cada site acessado como parte do carregamento da página. É possível classificar pela coluna SameSite para agrupar todos os cookies None.
No Chrome 118, a guia "Problemas do DevTools" mostra o erro "O cookie enviado no contexto entre sites será bloqueado em versões futuras do Chrome". O problema lista os cookies possivelmente afetados da página atual.
Ferramenta de análise do Sandbox de privacidade (PSAT)
Também criamos a Ferramenta de análise do Sandbox de privacidade (PSAT, na sigla em inglês), uma extensão do DevTools para facilitar a análise do uso de cookies durante as sessões de navegação. Ela fornece caminhos de depuração para cookies e recursos do Sandbox de privacidade, com pontos de acesso para saber mais sobre a iniciativa do Sandbox de privacidade.
A extensão complementa o DevTools com recursos especializados para analisar e depurar cenários relacionados à descontinuação de cookies de terceiros e à adoção de novas alternativas que preservam a privacidade.
Você pode fazer o download da extensão na Chrome Web Store ou acessar o repositório PSAT e a wiki.
Verificação de terceiros usando cookies
Se você identificar cookies definidos por terceiros, verifique com esses provedores se eles têm planos para a desativação gradual dos cookies de terceiros. Por exemplo, talvez seja necessário atualizar a versão de uma biblioteca que você está usando, alterar uma opção de configuração no serviço ou não tomar nenhuma medida se o próprio terceiro estiver fazendo as mudanças necessárias.
2. Teste de quebra
Você pode iniciar o Chrome usando a sinalização de linha de comando --test-third-party-cookie-phaseout ou, no Chrome 118, ativar chrome://flags/#test-third-party-cookie-phaseout. Isso vai configurar o Chrome para bloquear cookies de terceiros e garantir que novas funcionalidades e mitigações estejam ativas para simular melhor o estado após a descontinuação.
Você também pode tentar navegar com cookies de terceiros bloqueados por chrome://settings/cookies, mas a flag garante que a funcionalidade nova e atualizada também seja ativada. Bloquear cookies de terceiros é uma boa abordagem para detectar problemas, mas não necessariamente para validar que você os corrigiu.
Se você mantiver um pacote de testes ativo para seus sites, faça duas execuções lado a lado: uma com o Chrome nas configurações habituais e outra com a mesma versão do Chrome iniciada com a sinalização --test-third-party-cookie-phaseout. Qualquer falha de teste na segunda execução e não na primeira é uma boa opção para investigar dependências de cookies de terceiros. Informe os problemas encontrados.
Depois de identificar os cookies com problemas e entender os casos de uso deles, você pode trabalhar com as opções a seguir para escolher a solução necessária.
3. Usar cookies Partitioned com CHIPS
Quando seu cookie de terceiros for usado em um contexto incorporado 1:1 com o site de nível superior, use o atributo Partitioned como parte dos cookies com estado particionado independente (CHIPS, na sigla em inglês) para permitir o acesso entre sites com um cookie separado usado por cada site.
Para implementar os CHIPS, adicione o atributo Partitioned ao cabeçalho Set-Cookie:
Ao definir Partitioned, o site aceita armazenar o cookie em um pote de cookies separado particionado por site de nível superior. No exemplo acima, o cookie vem de store-finder.site, que hospeda um mapa de lojas que permite ao usuário salvar a loja favorita dele. Ao usar os CHIPS, quando brand-a.site incorpora store-finder.site, o valor do cookie fav_store é 123. Em seguida, quando brand-b.site também incorporar store-finder.site, ele vai definir e enviar a própria instância particionada do cookie fav_store, por exemplo, com o valor 456.
Isso significa que os serviços incorporados ainda podem salvar o estado, mas não têm armazenamento compartilhado entre sites que permitiria o rastreamento entre sites.
Possíveis casos de uso:incorporações de chats e mapas de terceiros, de pagamento por terceiros, balanceamento de carga da CDN de sub-recursos, provedores de CMS headless, domínios de sandbox para veiculação de conteúdo de usuários não confiáveis, CDNs de terceiros que usam cookies para controle de acesso, chamadas de API de terceiros que exigem cookies nas solicitações, anúncios incorporados com estado definido por editor.
4. Usar a API Storage Access e os conjuntos de sites relacionados
Quando seu cookie de terceiros é usado apenas em um pequeno número de sites relacionados, use conjuntos de sites relacionados (RWS, na sigla em inglês) para permitir o acesso do cookie entre sites no contexto dos sites definidos.
Para implementar o RWS, você vai precisar definir e enviar o grupo de sites para o conjunto. Para garantir que os sites estejam significativamente relacionados, a política de um conjunto válido exige o agrupamento desses sites por: sites associados com uma relação visível uns com os outros (por exemplo, variantes de uma oferta de produto de uma empresa), domínios de serviço (por exemplo, APIs, CDNs) ou domínios com código de país (por exemplo, *.uk, *.jp).
Os sites podem usar a API Storage Access para solicitar acesso a cookies entre sites usando requestStorageAccess() ou delegar acesso usando requestStorageAccessFor(). Quando os sites estão dentro do mesmo conjunto, o navegador concede acesso automaticamente e cookies entre sites ficam disponíveis.
Isso significa que grupos de sites relacionados ainda podem usar cookies entre sites em um contexto limitado, mas não correm o risco de compartilhar cookies de terceiros entre sites não relacionados de uma forma que permita o rastreamento entre sites.
Possíveis casos de uso:domínios específicos do app, domínios específicos da marca, domínios específicos do país, domínios sandbox para veicular conteúdo do usuário não confiável, domínios de serviço para APIs, CDNs.
5. Migre para as APIs da Web relevantes
O CHIPS e o RWS permitem tipos específicos de acesso a cookies entre sites, mantendo a privacidade do usuário. No entanto, os outros casos de uso de cookies de terceiros precisam migrar para alternativas com foco na privacidade.
O Sandbox de privacidade oferece várias APIs personalizadas para casos de uso específicos sem a necessidade de cookies de terceiros:
- O Federated Credential Management (FedCM) disponibiliza serviços de identidade federada para os usuários fazerem login em sites e serviços.
- Os tokens de estado particular permitem o combate a fraudes e antispam, com a troca de informações limitadas e sem identificação entre sites.
- A Topics permite a publicidade com base em interesses e a personalização de conteúdo.
- A Protected Audience ativa os públicos-alvo personalizados e de remarketing.
- A API Attribution Reporting permite a medição de conversões e impressões de anúncios.
Além disso, o Chrome oferece suporte à API Storage Access (SAA) para uso em iframes com interação do usuário. O SAA já é compatível com o Edge, o Firefox e o Safari. Acreditamos que é um bom equilíbrio para manter a privacidade do usuário e, ao mesmo tempo, permitir funcionalidades essenciais entre sites com o benefício da compatibilidade entre navegadores.
A API Storage Access vai mostrar um pedido de permissão do navegador para os usuários. Para oferecer uma experiência ideal ao usuário, só pediremos se o site que chama requestStorageAccess() tiver interagido com a página incorporada e tiver visitado anteriormente o site de terceiros em um contexto de nível superior. Se a concessão for bem-sucedida, será possível acessar cookies entre sites por 30 dias. Os possíveis casos de uso são incorporações autenticadas entre sites, como widgets de comentários em redes sociais, provedores de pagamento e serviços de vídeo por assinatura.
Se você ainda tiver casos de uso de cookies de terceiros não cobertos por essas opções, informe o problema para nós e verifique se há implementações alternativas que não dependem de funcionalidades que podem ativar o rastreamento entre sites.
Suporte empresarial
O Chrome gerenciado para empresas sempre tem requisitos exclusivos em comparação com o uso geral da Web, e vamos garantir que os administradores da empresa tenham controles adequados sobre a descontinuação de cookies de terceiros nos navegadores.
Assim como na maioria dos experimentos do Chrome, a maioria dos usuários finais corporativos será automaticamente excluída da descontinuação de 1% dos cookies de terceiros. Para os poucos que podem ser afetados, os administradores corporativos podem definir a política BlockThirdPartyCookies como false para desativar os navegadores gerenciados antes do experimento e dar tempo para fazer as mudanças necessárias para não depender dessa política ou de cookies de terceiros. Leia mais nas notas da versão do Chrome Enterprise.
Também pretendemos oferecer mais relatórios e ferramentas para ajudar a identificar o uso de cookies de terceiros em sites corporativos. Temos menos visibilidade de navegadores corporativos nas métricas de uso do Chrome, o que significa que é especialmente importante para as empresas testarem falhas e nos informarem problemas.
As integrações de SaaS empresariais poderão usar o teste de descontinuação de terceiros descrito abaixo.
Solicitar mais tempo com o teste de descontinuação de terceiros para casos de uso que não sejam de publicidade
Como em muitas suspensões de uso anteriores na Web, entendemos que há casos em que os sites precisam de mais tempo para fazer as alterações necessárias. No que diz respeito a mudanças relacionadas à privacidade como essa, também precisamos equilibrar essas mudanças em relação aos melhores interesses das pessoas que usam a Web.
Planejamos oferecer um teste de descontinuação para permitir que sites ou serviços usados em um contexto entre sites se registrem para ter acesso contínuo a cookies de terceiros por um período limitado.
Compartilharemos mais detalhes à medida que os planos avançarem, mas estamos começando com alguns princípios-chave:
- Este será um teste de descontinuação de terceiros, em que as incorporações de terceiros vão poder continuar usando temporariamente os cookies de terceiros.
- O registro exigirá um processo de revisão para garantir que o teste de descontinuação seja usado apenas para funções que afetam muito as jornadas críticas do usuário, e os registros serão considerados caso a caso.
- Isso não vai interferir nos testes de publicidade planejados para o início de 2024, conforme descrito pela CMA. Sendo assim, os casos de uso de publicidade não serão considerados para o teste de descontinuação.
Próxima etapa:este mês, vamos publicar uma Intent na lista de e-mails blink-dev com mais detalhes e continuar atualizando a documentação.
Como preservar experiências críticas do usuário
Os cookies entre sites têm sido uma parte essencial da Web há mais de 25 anos. Isso faz qualquer alteração, especialmente uma alteração interruptiva, um processo complexo que requer uma abordagem coordenada e incremental. Embora os atributos de cookies adicionais e as novas APIs com foco na privacidade sejam responsáveis pela maioria dos casos de uso, há cenários específicos em que queremos garantir que a experiência das pessoas que usam esses sites não seja prejudiquente.
Essencialmente, são fluxos de autenticação ou pagamento em que um site de nível superior abre uma janela pop-up ou redireciona para um site de terceiros para uma operação e, em seguida, retorna ao site de nível superior, usando um cookie nessa jornada de retorno ou no contexto incorporado. Pretendemos fornecer um conjunto temporário de heurística para identificar esses cenários e permitir cookies de terceiros por um período limitado, oferecendo aos sites uma janela maior para implementar as mudanças necessárias.
Próxima etapa:neste mês vamos publicar uma intent na lista de e-mails blink-dev com mais detalhes e continuar atualizando a documentação.
Como informar problemas com cookies de terceiros e receber ajuda
Queremos garantir que estamos capturando os vários cenários em que os sites falham sem cookies de terceiros. Assim, fornecemos orientações, ferramentas e recursos para permitir que os sites migrem das dependências de cookies de terceiros. Caso seu site ou serviço de que você depende esteja corrompido com os cookies de terceiros desativados, envie o problema para nosso rastreador de falhas em goo.gle/report-3pc-broken.
Se você tiver dúvidas sobre o processo de descontinuação e o plano do Chrome, informe um novo problema usando a tag "Descontinuação de cookies de terceiros" no nosso repositório de suporte ao desenvolvedor.