Les cookies sont frais. Quelles sont les dernières recettes pour continuer à faire peur sans biscuits rassis ?
Les cookies sont frais. Quelles sont les dernières recettes que vous devez vous assurer des cookies non périmés ?
Nous abandonnons progressivement les cookies tiers sur le Web Google Cloud. Il s'agit d'une étape majeure dans la lutte contre le suivi intersites, partie d'un assez long parcours. Jetons un coup d'œil au chemin parcouru de friandises sont en réserve à l'avenir...
En apparence, les cookies fournissent un magasin de paires clé-valeur simple, envoyé entre les
le navigateur et le serveur. qui peuvent offrir des fonctionnalités utiles sur un site,
enregistrement d'une préférence: theme=bats ou stockage de l'ID de session pour une session
utilisateur.
Si ce cookie est utilisé sur le site qui l'a défini, nous avons tendance à appeler
qu'un cookie propriétaire. S'il est utilisé sur un site différent
nous appelons cela un cookie tiers. Par exemple, mon
theme=bats cookie serait propriétaire si je visite le site qui définit
mais s'il est inclus dans un iFrame ou une autre ressource inter-sites
un autre site, il s'agirait
d'un cookie tiers.
Le problème avec les cookies tiers, c'est qu'ils peuvent permettre le suivi. Au lieu de définir quelque chose comme un thème, le service partagé peut d'y stocker un identifiant complet. Cet identifiant est ensuite envoyé lorsque vous naviguer sur différents sites qui incluent un cookie de service partagé, signifie qu'un service peut observer et lier votre activité sur ces sites.
Cookies propriétaires par défaut
Nous avons déjà fait des progrès ici ! Avant, le simple fait de paramétrer
un cookie standard theme=pumpkins serait envoyé dans tous les contextes : même site ou
intersites ! La plupart des sites souhaitent que leurs cookies ne soient envoyés
sur le même site. Ce paramètre peut être contrôlé via l'attribut SameSite sur la
un cookie. Exemple :
Set-Cookie: theme=bats; SameSite=Lax
Cela indique au navigateur de n'envoyer le cookie que si la ressource correspond à la vers un site de premier niveau. Toutefois, cela signifiait que le site devait préciser à quel moment il voulait ou un cookie propriétaire. C'est un peu en arrière en termes de sécurité, car vous devez demander quand vous souhaitez disposer de davantage de privilèges, et pas seulement en les obtenant par par défaut.
SameSite=Lax est désormais utilisé par défaut. Si vous définissez simplement theme=bats,
être envoyées dans un contexte impliquant le même site.
Si vous souhaitez utiliser un cookie tiers ou intersites affiché dans un widget intégré), vous devez spécifier:
Set-Cookie: theme=bats; SameSite=None; Secure
Vous indiquez ainsi au navigateur que vous souhaitez que le cookie soit envoyé dans n'importe quel contexte intersites, nous voulons limiter aux connexions sécurisées uniquement.
Des cookies propriétaires encore plus savoureux
Même si la valeur par défaut s'est encore améliorée, vous pouvez encore l'améliorer. cette recette. Voici un bref aperçu:
Set-Cookie: __Host-theme=bats;
Secure;
Path=/;
HttpOnly;
Max-Age=7776000;
SameSite=Lax;
Vous obtiendrez ainsi un cookie propriétaire qui reste limité à un seul domaine, les connexions sécurisées, aucun accès par JavaScript, expire automatiquement avant devient obsolète et n'est (bien sûr !) autorisée que dans des contextes impliquant le même site.
Les cookies sont plus savoureux avec les CHIPS !
L'un des aspects magiques du Web est la possibilité de créer plusieurs sites ensemble. Imaginons que je souhaite créer un widget de carte permettant à d'autres sites d'afficher meilleures excursions dans les champs de citrouilles ou itinéraires de chasse aux citrouilles. Mon service utilise un cookie pour permettre aux utilisateurs de stocker leur progression le long du parcours. Le problème est que le même le cookie tiers va être envoyé sur le site site de tricherie ou de traitement. Je ne veux pas effectuer le suivi des utilisateurs d'un site à l'autre, mais n'utilise qu'un seul bac à cookies. Il n'y a aucun moyen pour moi de séparer cette utilisation !
C'est là que les Cookies ayant
un état partitionné indépendant, ou CHIPS,
la proposition entre en jeu. Au lieu d'un bocal à cookies partagé, il existe un système
par site de premier niveau. Les sites l'activeront en utilisant
l'attribut Partitioned sur son cookie.
Set-Cookie: __Host-route=123;
SameSite=None;
Secure;
Path=/;
Partitioned;
Au lieu d'avoir à partager ce pot à cookies, chacun a sa propre version ! Plus simple, plus sûrs et plus hygiéniques.
Nous venons d'envoyer l'intention Expédition pour les cookies disposant d'un état partitionné indépendant (CHIPS) dans Chrome 109, ce qui signifie qu'ils disponibles en version bêta en décembre et en version stable en janvier 2023. Si vous êtes à la recherche d'une bonne résolution pour la nouvelle année, afin d'améliorer le cookie de votre site essayez d'y ajouter des CHIPS. les cookies intersites !
Inviter des cookies à la partie avec les ensembles internes
En ce qui concerne les commentaires des développeurs, beaucoup d'entre vous ont également indiqué clairement qu'il
dans lesquelles vous partagez des services
entre des sites que vous contrôlez et que vous souhaitez
peuvent utiliser des cookies entre elles, mais ne pas les laisser être envoyées dans de véritables
différents contextes. Par exemple, si vous avez pretty-pumpkins.com et
pretty-pumpkins.co.uk Vous disposez peut-être d'un système d'authentification unique basé sur les cookies
qui fonctionne sur ces sites. Les CHIPS ne fonctionneraient pas
car il me suffirait de
me connecter sur les deux sites, car j'ai besoin du même cookie
ces sites associés.
Nous travaillons actuellement sur la proposition d'ensembles internes pour que tout cela soit possible. Nous avons participé à une phase d'évaluation et à de nombreuses discussions de la communauté nous amène à la dernière version qui vise à:
- Donnez aux entreprises la possibilité de définir un groupe de sites d'une même partie.
- Demander l'accès aux cookies intersites à l'aide de l'API Storage Access au sein de cet ensemble propriétaire.
Ces cookies sont encore en cours de cuisson au four, mais vous pouvez vérifier dans le guide du développeur sur les ensembles internes vous avez d'autres tests à effectuer, ou passez directement la proposition WICG/first-party-sets si vous souhaitez contribuer à la discussion.
Ne laissez pas vos cookies devenir obsolètes !
Notre objectif est d'abandonner progressivement la prise en charge des cookies tiers dans Chrome au milieu de l'année 2024. Il est temps de vous préparer, mais vous devriez commencer à planifier dès maintenant.
- Recherchez d'éventuels cookies dans votre code à l'aide de
SameSite=None. Ce sont les cookies nécessitant des mises à jour. - Si vous n'avez pas de cookies tiers, assurez-vous que vos cookies de site identique utilisent les meilleurs cookies propriétaires recettes
- Si vous utilisez ces cookies dans un contexte incorporé et totalement incorporé, d'examiner et de tester la proposition CHIPS.
- Si vous avez besoin de ces cookies sur plusieurs sites qui forment un groupe cohérent, puis examinez les ensembles internes proposition.
- Si aucune de ces options ne vous est proposée, vous devrez examiner les autres propositions de la Privacy Sandbox dans lesquelles nous développons des API spécifiques pour des cas d'utilisation individuels sur le suivi intersites.
Il ne s'agit que d'un bref aperçu et nous continuerons à partager d'autres actualités et des conseils au fur et à mesure de l'avancement du travail. Si vous avez des questions, des problèmes ou souhaitez les résultats de votre travail, alors nous vous proposons de nombreux itinéraires pour .
N'oubliez pas: les cookies peuvent être délicieux, mais seulement quelques-uns à la fois n'essayez pas de voler à qui que ce soit d'autre !