דף זה תורגם על ידי Cloud Translation API.

מתכוננים לסיום של קובצי cookie של צדדים שלישיים

אם באתר שלכם נעשה שימוש בקובצי Cookie של צד שלישי, הגיע הזמן לנקוט פעולה לפני שנוציא אותם משימוש. כדי להקל על הבדיקה, החל מ-4 בינואר 2024, קובצי Cookie של צד שלישי מוגבלים על ידי 1% מהמשתמשים ב-Chrome. ב-Chrome מתכננים להרחיב את ההגבלות על קובצי cookie של צד שלישי ל-100% מהמשתמשים ברבעון השלישי של 2024, בכפוף למענה לכל בעיות התחרותיות שנותרו מרשות התחרות והשווקים (Competition and Markets Authority) של בריטניה.

המטרה שלנו במסגרת ארגז החול לפרטיות היא לצמצם את המעקב באתרים שונים ועדיין לאפשר את הפונקציונליות שמאפשרת לכולם גישה חופשית לתוכן ולשירותים באינטרנט. הוצאה משימוש והסרה של קובצי cookie של צד שלישי כבר כוללת את האתגר, מאחר שהם מאפשרים פונקציונליות קריטית בכניסה לחשבון, הגנה מפני הונאה ופרסום, ובאופן כללי גם את היכולת להטמיע תוכן עשיר של צד שלישי באתרים שלכם — אבל באותו זמן הם גם המנועים העיקריים של מעקב באתרים שונים.

לציון הדרך המשמעותי הקודם, השקנו מגוון ממשקי API שמספקים חלופה ממוקדת פרטיות למצב הקיים בתרחישי שימוש כמו זהות, פרסום וזיהוי הונאות. הוספנו חלופות, ועכשיו נוכל להתחיל להוציא משימוש בהדרגה קובצי cookie של צד שלישי.

בסדרת הספירה לאחור של קובצי ה-cookie, נסביר לך על ציר הזמן ונפרט את הפעולות המיידיות שאפשר לבצע כדי להבטיח שהאתרים שלך יהיו מוכנים.

1% אנחנו מוציאים משימוש קובצי cookie של צד שלישי ובדיקות שמתבצעת באמצעות Chrome

בציר הזמן שלprivacysandbox.com יוצגו שתי אבני דרך ברבעון הרביעי של שנת 2023 וברבעון הראשון של שנת 2024, כחלק ממצבי הבדיקה שמתבצעת באמצעות Chrome. הבדיקה הזו מיועדת בעיקר לארגונים שבודקים את ממשקי ה-API למדידה ולרלוונטיות של ארגז החול לפרטיות, אבל כחלק מהשינוי הזה, נשבית קובצי cookie של צד שלישי ב-1% מהמשתמשים היציבים ב-Chrome.

ציר הזמן להוצאה משימוש של קובצי cookie של צד שלישי. כחלק מהבדיקות שמתבצעת באמצעות Chrome, בדיקות ההצטרפות באמצעות מצב תוויות התחילו ברבעון הרביעי של שנת 2023, וב-4 בינואר 2024 מצב ההוצאה משימוש של 1% 3PC. שניהם ימשיכו עד אמצע הרבעון השלישי של 2024, שבו יתחיל ההפסקה ההדרגתית של קובצי cookie של צד שלישי.

המשמעות היא שהחל מתחילת 2024, יהיה גידול במספר משתמשי Chrome באתר שלכם שמשביתים קובצי cookie של צד שלישי, גם אם אתם לא משתתפים באופן פעיל בבדיקות שמתבצעת באמצעות Chrome. תקופת הבדיקה נמשכת עד הרבעון השלישי של 2024. לאחר התייעצות עם ה-CMA, בכפוף לפתרון בעיות שקשורות לתחרות, אנחנו מתכננים להתחיל להשבית קובצי cookie של צד שלישי לכל משתמשי Chrome.

הכנה לקראת הפסקת השימוש בקובצי cookie של צד שלישי

חילקנו את התהליך לשלבים עיקריים אלה, כמפורט בהמשך, כדי להבטיח שהאתר שלך מוכן לפעול ללא קובצי Cookie של צד שלישי:

בדיקת השימוש בקובצי cookie של צד שלישי
בדיקת תקלות.
במקרה של קובצי cookie מאתרים שונים שמאחסנים נתונים בכל אתר בנפרד, כמו הטמעה, כדאי לשקול Partitioned עם CHIPS.
לקובצי cookie באתרים שונים בקבוצה קטנה של אתרים שמקושרים בצורה משמעותית, כדאי להשתמש בקבוצות של אתרים קשורים.
לתרחישים אחרים של שימוש בקובצי cookie של צד שלישי, צריך לעבור לממשקי ה-API הרלוונטיים באינטרנט.

1. בדיקת השימוש בקובצי cookie של צד שלישי

אפשר לזהות קובצי cookie של צד שלישי לפי הערך שלהם ב-SameSite=None. צריך לחפש בקוד את המופעים שבהם הגדרתם את המאפיין SameSite לערך הזה. אם ביצעת בעבר שינויים בהוספת SameSite=None לקובצי ה-cookie שלך בסביבות 2020, השינויים האלה יכולים לשמש כנקודת התחלה טובה.

כלי פיתוח ל-Chrome

בחלונית Chrome DevTools Network מוצגות קובצי Cookie שהוגדרו ונשלחים לפי בקשות. בחלונית האפליקציות ניתן לראות את הכותרת 'קובצי cookie' בקטע 'אחסון'. אתם יכולים לעיין בקובצי ה-cookie שאוחסנו עבור כל אתר שאליו ניגשתם במהלך טעינת הדף. אפשר למיין לפי העמודה SameSite כדי לקבץ את כל קובצי ה-cookie מסוג None.

הכרטיסייה 'בעיות' בכלי הפיתוח שבה מוצגת אזהרה לגבי SameSite=None קובצי Cookie.

החל מגרסה 118 של Chrome, בכרטיסייה 'בעיות בכלי הפיתוח' מופיעה הבעיה של שינוי תוכנה שעלול לגרום לכשל: "קובצי cookie שנשלחים בהקשר לאתרים שונים ייחסמו בגרסאות עתידיות של Chrome". בבעיה רשומים קובצי cookie בדף הנוכחי שייתכן שהושפעו מהבעיה.

הכלי לניתוח ארגז החול לפרטיות (PSAT)

יצרנו גם את הכלי לניתוח של ארגז החול לפרטיות (PSAT) – תוסף של DevTools שמאפשר לנתח את השימוש בקובצי cookie במהלך סשנים של גלישה. כך יש מסלולים לניפוי באגים עבור קובצי cookie ותכונות של ארגז החול לפרטיות, וגם נקודות גישה למידע נוסף על היוזמה של ארגז החול לפרטיות.

התוסף משלים את כלי הפיתוח עם יכולות מיוחדות לניתוח ולניפוי באגים בתרחישים שקשורים להוצאה משימוש של קובצי cookie של צד שלישי ואימוץ חלופות חדשות לשמירה על הפרטיות.

אפשר להוריד את התוסף מחנות האינטרנט של Chrome או לגשת אל המאגר וה-wiki של PSAT.

בדיקת צדדים שלישיים באמצעות קובצי cookie

אם אתם מזהים קובצי cookie שהוגדרו על ידי צדדים שלישיים, עליכם לבדוק עם אותם ספקים אם יש להם תוכניות להפסיק את השימוש בקובצי cookie של צד שלישי באופן הדרגתי. לדוגמה, ייתכן שיהיה צורך לשדרג גרסה של ספרייה שבה אתם משתמשים, לשנות אפשרות הגדרה בשירות, או שלא לנקוט פעולה אם הצד השלישי מטפל בעצמו בשינויים הנחוצים.

2. בדיקת שבירה

אפשר להפעיל את Chrome באמצעות דגל שורת הפקודה --test-third-party-cookie-phaseout או מ-Chrome 118, להפעיל את chrome://flags/#test-third-party-cookie-phaseout. בחירה באפשרות הזו תגדיר ל-Chrome לחסום קובצי cookie של צד שלישי, ולוודא שפונקציונליות והקלות חדשות פועלות כדי לדמות את המצב בצורה הטובה ביותר לאחר ההפסקה ההדרגתית.

אפשר גם לנסות לגלוש עם קובצי cookie של צד שלישי שנחסמים דרך chrome://settings/cookies, אבל חשוב לזכור שהסימון מבטיח שגם הפונקציונליות החדשה והמעודכנת מופעלת. חסימת קובצי cookie של צד שלישי היא גישה טובה לזיהוי בעיות, אבל לא בהכרח כדי לוודא שתיקנתם אותן.

אם יש לכם חבילת בדיקות פעילה לאתרים, עליכם לבצע שתי הפעלות זה לצד זה: אחת עם Chrome עם ההגדרות הרגילות ואחת עם אותה גרסת Chrome שמופעלת עם הדגל --test-third-party-cookie-phaseout. כל כישלון בבדיקה בהפעלה השנייה ולא בהפעלה הראשונה הוא מועמדים טובים לבדיקה של יחסי תלות עם קובצי cookie של צד שלישי. הקפידו לדווח על הבעיות שמצאתם.

לאחר שתזהו את קובצי ה-cookie שיש בהם בעיות ותבינו את תרחישי השימוש עבורם, תוכלו לפעול על פי האפשרויות הבאות כדי לבחור את הפתרון הדרוש.

3. שימוש בקובצי cookie מסוג `Partitioned` עם CHIPS

במקרים שבהם נעשה שימוש בקובץ ה-cookie של צד שלישי בהקשר מוטמע ביחס 1:1 לאתר ברמה העליונה, מומלץ להשתמש במאפיין Partitioned כחלק מקובצי cookie עם מצב נפרד של חלוקה למחיצות (CHIPS) כדי לאפשר גישה בין אתרים באמצעות קובץ cookie נפרד לכל אתר.

המאפיין 'חלוקה למחיצות' מאפשר להגדיר קובץ Cookie נפרד של fav_store לכל אתר ברמה העליונה.

כדי להטמיע CHIPS, צריך להוסיף את המאפיין Partitioned לכותרת Set-Cookie:

בהגדרה Partitioned, האתר מביע הסכמה לשמירת קובץ ה-cookie במאגר נפרד של קובצי cookie שמחולק למחיצות לפי אתר ברמה עליונה. בדוגמה שלמעלה, קובץ ה-cookie מגיע מהאתר store-finder.site, שמארח מפה של חנויות שמאפשרת למשתמש לשמור את החנות המועדפת עליו. שימוש ב-CHIPS, כאשר brand-a.site מטמיע את store-finder.site, הערך של קובץ ה-cookie fav_store הוא 123. לאחר מכן, כש-brand-b.site יטמיע גם את store-finder.site, הוא יגדיר וישלח מופע משלו המחולק למחיצות של קובץ ה-cookie fav_store, למשל עם הערך 456.

כלומר, השירותים המוטמעים עדיין יכולים לשמור מצבים, אבל אין להם אחסון משותף באתרים שונים שמאפשר מעקב באתרים שונים.

תרחישים לדוגמה אפשריים: הטמעות צ'אט של צד שלישי, הטמעות מפות של צד שלישי, הטמעות תשלומים של צד שלישי, איזון עומסים של CDN במשאבי משנה, ספקי CMS ללא GUI, דומיינים של ארגז חול (Sandbox) להצגת תוכן לא מהימן של משתמשים, קריאות CDN של צד שלישי שמשתמשים בקובצי cookie לצורך בקרת גישה, קריאות ל-API של צד שלישי שמחייבות שימוש בקובצי cookie בבקשות, מודעות מוטמעות עם רמת היקף שונה של כל בעל אתר.

מידע נוסף על CHIPS

4. שימוש ב-Storage Access API ובקבוצות של אתרים קשורים

במקרים שבהם קובץ ה-cookie של צד שלישי נמצא בשימוש רק במספר קטן של אתרים קשורים, מומלץ להשתמש בקבוצות של אתרים קשורים (RWS) כדי לאפשר גישה בין אתרים לקובץ ה-cookie הזה בהקשר של האתרים המוגדרים האלה.

כדי ליישם RWS, צריך להגדיר ולשלוח את קבוצת האתרים עבור הקבוצה. כדי להבטיח שיש קשר בין האתרים באופן משמעותי, המדיניות של קבוצה חוקית מחייבת לקבץ את האתרים לפי: אתרים קשורים בעלי קשר גלוי זה לזה (למשל, וריאנטים של היצע מוצרי החברה), דומיינים של שירותים (למשל ממשקי API, CDN) או דומיינים עם קידוד מדינה (למשל *.uk, *.jp).

קבוצות של אתרים קשורים מאפשרות גישה לקובצי cookie בהקשר של אתרים שהוצהרו, אבל לא דרך אתרים אחרים של צד שלישי.

אתרים יכולים להשתמש ב-Storage Access API כדי לבקש גישה לקובצי cookie באתרים שונים באמצעות requestStorageAccess() או כדי להאציל גישה באמצעות requestStorageAccessFor(). כשאתרים נמצאים באותה קבוצה, הדפדפן יעניק גישה אוטומטית וקובצי cookie מאתרים שונים יהיו זמינים.

המשמעות היא שקבוצות של אתרים קשורים עדיין יכולים להשתמש בקובצי Cookie מאתרים שונים בהקשר מוגבל, אבל לא להסתכן בשיתוף קובצי Cookie של צד שלישי בין אתרים לא קשורים באופן שיאפשר מעקב בין אתרים.

תרחישים לדוגמה אפשריים: דומיינים ספציפיים לאפליקציה, דומיינים ספציפיים למותג, דומיינים ספציפיים למדינה, דומיינים של ארגז חול להצגת תוכן לא מהימן של משתמשים, דומיינים של שירותים לממשקי API, רשתות CDN.

מידע נוסף על RWS

5. מעבר לממשקי ה-API הרלוונטיים באינטרנט

CHIPS ו-RWS מאפשרים סוגים מסוימים של גישה לקובצי cookie באתרים שונים תוך שמירה על פרטיות המשתמשים, אבל תרחישי השימוש האחרים בקובצי cookie של צד שלישי חייבים לעבור לחלופות אחרות שמתמקדות בפרטיות.

ארגז החול לפרטיות מספק מגוון ממשקי API ייעודיים לשימוש בתרחישים ספציפיים, ללא צורך בקובצי cookie של צד שלישי:

ניהול פרטי כניסה מאוחד (FedCM) מאפשר שירותי זהויות מאוחדים שמאפשרים למשתמשים להיכנס לאתרים ולשירותים.
אסימוני מצב פרטי מאפשרים למנוע הונאה וספאם על ידי העברה של מידע מוגבל ולא מזהה בין אתרים שונים.
Topics מאפשר פרסום המבוסס על תחומי עניין והתאמה אישית של תוכן.
הקהל Protected Audience מאפשר להפעיל רימרקטינג וקהלים בהתאמה אישית.
דוחות שיוך (Attribution) מאפשרים למדוד חשיפות של מודעות והמרות.

בנוסף, Chrome תומך ב-Storage Access API (SAA) לשימוש במסגרות iframe עם אינטראקציה של משתמשים. SAA כבר נתמכת ב-Edge, Firefox ו-Safari. אנחנו סבורים ששיתוף הפעולה הזה מהווה איזון טוב לשמירה על פרטיות המשתמשים, ועדיין מאפשר פונקציונליות קריטית באתרים שונים עם היתרון של תאימות לדפדפנים שונים.

שימו לב: ב-Storage Access API תוצג בקשה למתן הרשאה לדפדפן. כדי לספק חוויית משתמש מיטבית, נציג הודעה למשתמש רק אם לאתר שמתקשר ל-requestStorageAccess() הייתה אינטראקציה עם הדף המוטמע, וביקר בעבר באתר של הצד השלישי בהקשר ברמה עליונה. מענק מוצלח יאפשר גישה לקובצי cookie מאתרים שונים עבור האתר הזה למשך 30 יום. תרחישים לדוגמה אפשריים הם הטמעות מאומתות בכמה אתרים, כמו ווידג'טים של תגובות ברשתות חברתיות, ספקי תשלום ושירותי וידאו למנויים.

אם עדיין יש לך תרחישים לדוגמה של שימוש בקובצי cookie של צד שלישי שלא נכללים באפשרויות האלה, עליך לדווח לנו על הבעיה ולבדוק אם יש הטמעות חלופיות שלא תלויות בפונקציונליות שיכולה להפעיל מעקב חוצה-אתרים.

תמיכה לארגונים

ל-Chrome המנוהל על ידי הארגון יש תמיד דרישות ייחודיות בהשוואה לשימוש הכללי באינטרנט, ואנחנו נוודא שלמנהלי המערכת בארגון יהיו אמצעי בקרה מתאימים על ההוצאה משימוש של קובצי cookie של צד שלישי בדפדפנים שלהם.

כמו ברוב הניסויים ב-Chrome, רוב משתמשי הקצה בגרסה הארגונית יוחרגו באופן אוטומטי מההוצאה משימוש של קובצי cookie של צד שלישי בשיעור של 1%. אדמינים ארגוניים יכולים להגדיר שהמדיניות שלBlockThirdPartyCookie היא false כדי למנוע את הסכמתם לדפדפנים המנוהלים שלהם לפני הניסוי. כך הם יקבלו זמן לבצע את השינויים הדרושים כדי לא להסתמך על המדיניות הזו או על קובצי Cookie של צד שלישי. מידע נוסף זמין בנתוני הגרסה של Chrome Enterprise.

אנחנו מתכוונים גם לספק דיווחים וכלים נוספים שיעזרו לזהות שימוש בקובצי cookie של צד שלישי באתרים ארגוניים. דפדפנים ארגוניים מקבלים פחות חשיפה במדדי השימוש של Chrome. לכן, חשוב במיוחד לארגונים לבדוק אם יש תקלות ולדווח לנו על בעיות.

שילובים של SaaS לארגונים יוכלו להשתמש בתקופת הניסיון להוצאה משימוש של צדדים שלישיים שמתוארת בהמשך.

בקשת זמן נוסף במסגרת תקופת הניסיון של צד שלישי שהוצאה משימוש עבור תרחישים לדוגמה שאינם פרסומיים

כמו במקרים רבים של הוצאה משימוש קודמת באינטרנט, אנחנו מבינים שלפעמים אתרים זקוקים לזמן נוסף כדי לבצע את השינויים הנדרשים. כשמדובר בשינויים כאלה הקשורים לפרטיות, עלינו גם לאזן בין האינטרסים של האנשים שמשתמשים באינטרנט.

אנחנו מתכננים להציע תקופת ניסיון להוצאה משימוש, כדי לאפשר לאתרים או לשירותים שמשתמשים בהם בהקשר של אתרים שונים להירשם להמשך גישה לקובצי cookie של צד שלישי למשך פרק זמן מוגבל.

נשתף פרטים נוספים עם התקדמות התוכניות, אבל נתחיל עם כמה עקרונות מרכזיים:

זאת תהיה תקופת ניסיון של צד שלישי שהוצאה משימוש, שתאפשר להטמעות של צדדים שלישיים להביע הסכמה להמשיך להשתמש בקובצי cookie של צד שלישי באופן זמני.
לצורך ההרשמה יידרש תהליך בדיקה, כדי להבטיח שתקופת הניסיון להוצאה משימוש תשמש רק לפונקציות שמשפיעות בצורה משמעותית על התהליכים הקריטיים ועל הרשמות של המשתמשים, תילקח בחשבון על בסיס כל מקרה לגופו.
הוא לא יפריע לבדיקות הפרסום המתוכננות לתחילת שנת 2024, כפי שמתואר על ידי ה-CMA. לכן, המשמעות היא שתרחישים לדוגמה בתחום הפרסום לא ייכללו בתקופת הניסיון להוצאה משימוש.

השלב הבא: החודש נפרסם Intent ברשימת התפוצה של blink-dev עם פרטים נוספים, ונמשיך לעדכן את המסמכים כאן.

שמירה על חוויות משתמש קריטיות

קובצי cookie בין אתרים הם חלק קריטי מהאינטרנט כבר יותר מרבע מאה. כל שינוי כזה מתרחש, במיוחד שינוי תוכנה, תהליך מורכב שדורש גישה מתואמת ומצטברת. המאפיינים הנוספים של קובצי ה-cookie וממשקי ה-API החדשים שמתמקדים בפרטיות הם לרוב תרחישי השימוש, אבל יש תרחישים ספציפיים שבהם אנחנו רוצים לוודא שלא נבטל את החוויה של האנשים שמשתמשים באתרים האלה.

לרוב מדובר בתהליכי אימות או תשלום שבהם אתר ברמה עליונה פותח חלון קופץ או מפנה מחדש לאתר של צד שלישי לביצוע פעולה מסוימת, ולאחר מכן חוזר לאתר ברמה העליונה תוך שימוש בקובץ cookie בתהליך ההחזרה הזה או בהקשר המוטמע. אנחנו מתכוונים לספק סדרת נתונים זמנית כדי לזהות תרחישים כאלה ולאפשר קובצי cookie של צד שלישי לפרק זמן מוגבל, וכך לתת לאתרים חלון זמן רב יותר ליישם את השינויים הנדרשים.

השלב הבא: בחודש הקרוב נפרסם Intent לרשימת התפוצה של blink-dev עם פרטים נוספים, ונמשיך לעדכן כאן את המסמכים.

דיווח על בעיות בקובצי cookie של צד שלישי וקבלת עזרה

אנחנו רוצים לוודא שאנחנו מתעדים את התרחישים השונים שבהם אתרים מתנתקים ללא קובצי Cookie של צד שלישי, כדי לוודא שאנחנו מספקים הדרכה, כלים ופונקציונליות שיאפשרו לאתרים לצאת מהתלות בקובצי ה-Cookie של צד שלישי. אם קובצי Cookie של צד שלישי מושבתים באתר שלכם או בשירות שאתם משתמשים בו, אפשר לשלוח אותו אל הכלי שלנו למעקב אחר שיבושים בכתובת goo.gle/report-3pc-broken.

אם יש לך שאלות לגבי תהליך ההוצאה משימוש והתוכנית של Chrome, אפשר להעלות בעיה חדשה באמצעות התג 'הוצאה משימוש של קובצי cookie של צד שלישי' במאגר התמיכה שלנו למפתחים.