Niente biscotti spettrali

I biscotti sono sempre freschi. Quali sono le ultime ricette per assicurarti di gustare un'esperienza spettrale senza biscotti?

I biscotti sono sempre freschi, quindi quali sono le ultime ricette per assicurarti di goditi la stagione spettrale senza biscotti viziati?

Ci stiamo muovendo verso l'eliminazione graduale dei cookie di terze parti sul web completamente gestita. Si tratta di una pietra miliare nella gestione del monitoraggio tra siti, ma di un percorso piuttosto lungo. Vediamo quanta strada abbiamo fatto e cosa le prelibatezze in futuro ci saranno...

In apparenza, i cookie forniscono un semplice archivio di coppie chiave-valore che viene inviato tra browser e il server. Che può fornire funzionalità utili su un sito come salvataggio di una preferenza: theme=bats o memorizzazione dell'ID sessione di un utente a cui è stato eseguito l'accesso utente.

Se il cookie viene utilizzato sullo stesso sito che lo ha impostato, tendiamo a richiamare che un cookie proprietario. Se viene utilizzato come parte di un sito diverso rispetto a quello che lo ha impostato, chiamato cookie di terze parti. Ad esempio, Il cookie theme=bats sarà proprietario se visito lo stesso sito che ha impostato ma se è inclusa in un iframe o in un'altra risorsa su più siti come parte di un diverso, sarebbe un cookie di terze parti.

Il problema dei cookie di terze parti è che possono abilitare i cookie il monitoraggio delle conversioni. Invece di impostare qualcosa come un tema, il servizio condiviso potrebbe un intero identificatore al suo interno. Lo stesso identificatore viene quindi inviato navigare su diversi siti che includono il cookie dei servizi condivisi, che significa che un servizio può osservare e collegare la tua attività tra questi siti.

Cookie proprietari per impostazione predefinita

Abbiamo già fatto progressi nel nostro percorso! Un tempo era la sola impostazione un cookie normale: theme=pumpkins viene inviato in tutti i contesti: sullo stesso sito o cross-site! La maggior parte dei siti vuole che i cookie vengano inviati solo in una contesto stesso-sito. Questa operazione può essere controllata tramite l'attributo SameSite nella cookie. Ad esempio:

Set-Cookie: theme=bats; SameSite=Lax

Questo indica al browser di inviare il cookie solo se la risorsa corrisponde alla sito di primo livello. Tuttavia, questo significava che il sito doveva specificare quando il cookie proprietario. È un po' indietro in termini di sicurezza, perché in realtà dovrebbe chiederti se vuoi maggiori privilegi, non solo ottenerli predefinito.

Quindi al momento, l'impostazione predefinita è SameSite=Lax. Se imposti theme=bats, verrà utilizzato essere inviati in un contesto nello stesso sito.

Se vuoi un cookie cross-site o di terze parti (forse ti serve il tema visualizzato in un widget incorporato), devi specificare:

Set-Cookie: theme=bats; SameSite=None; Secure

Questo indica al browser che il cookie deve essere inviato in qualsiasi contesto tra siti, ma ma vogliamo limitare solo le connessioni sicure.

cookie proprietari ancora più gustosi

Anche se l'impostazione predefinita è migliorata, c'è ancora spazio per migliorare quella ricetta. Ecco un assaggio veloce:

Set-Cookie:  __Host-theme=bats;
  Secure;
  Path=/;
  HttpOnly;
  Max-Age=7776000;
  SameSite=Lax;

In questo modo otterrai un cookie proprietario che rimane limitato a un solo dominio, connessioni sicure, nessun accesso tramite JavaScript, scade automaticamente prima diventa obsoleta e (ovviamente!) è consentita solo in contesti che riguardano lo stesso sito.

I biscotti sono più gustosi con le CHIPS!

Uno degli aspetti magici del web è la capacità di scrivere più siti in sinergia. Supponiamo di voler creare un widget mappa che consenta ad altri siti di mostrare i migliori tour delle zucche o i percorsi per "dolcetto o scherzetto". Il mio servizio utilizza un cookie per consentire agli utenti di memorizzare i loro progressi lungo il percorso. Il problema è che la stessa il cookie di terze parti verrà inviato al sito sito dedicato al dolcetto o scherzetto. Non voglio monitorare gli utenti tra siti, ma usa solo un vasetto di cookie e non c'è modo per me di separare quell'utilizzo!

È qui che i cookie con stato partizionato indipendente (ChiPS) una proposta. Invece di un barattolo di cookie condiviso, c'è un separato e jar di cookie partizionati per sito di primo livello. I siti lo autorizzano utilizzando l'attributo Partitioned sul cookie.

Set-Cookie: __Host-route=123;
  SameSite=None;
  Secure;
  Path=/;
  Partitioned;

Invece di dover condividere un barattolo di biscotti, ognuno ha il suo. Più semplice, più sicuro e igienico.

Abbiamo appena inviato l'intent a Nave per i cookie con stato partizionato indipendente (CHIPS) in Chrome 109, il che significa che disponibile per il test in versione beta a dicembre e poi in versione stabile a gennaio 2023. Quindi, se sei alla ricerca di buoni propositi per l'anno nuovo per migliorare i cookie del tuo sito ricetta poi dai un'occhiata e vedi se riesci a spolverare le patatine fritte cookie cross-site!

Invitare i cookie alla festa con gli insiemi proprietari

In merito al feedback degli sviluppatori, molti di voi hanno anche chiarito che sono situazioni in cui condividi servizi tra siti che controlli e che vuoi possono utilizzare i cookie tra loro, ma non consentire che vengano inviati i contesti. Ad esempio, potresti avere pretty-pumpkins.com e pretty-pumpkins.co.uk. Potresti avere un sistema Single Sign-On basato su cookie che funziona su questi siti. I CHIPS non funzionerebbero perché dovrei solo eseguire l'accesso su entrambi i siti, il requisito è di dover utilizzare lo stesso cookie su questi siti correlati.

Stiamo lavorando alla proposta degli insiemi proprietari per cercare di renderlo possibile. Abbiamo superato una sola sperimentazione dell'origine e molte discussioni della community, che sono ci ha portato all'ultima versione che punta a:

• Offri alle organizzazioni un modo per definire un gruppo di siti che dovrebbe essere tra loro.
• Sfruttare l'API Storage Access per richiedere l'accesso ai cookie cross-site all'interno dell'insieme proprietario.

Questi biscotti sono ancora in forno, ma puoi controllare Guida per gli sviluppatori sugli insiemi proprietari quando c'è altro da testare, oppure passare Proposta WICG/proprietari se con cui vorresti contribuire alla discussione.

Fai in modo che i tuoi cookie diventino inattivi.

Il nostro obiettivo è iniziare a eliminare gradualmente il supporto per i cookie di terze parti in Chrome a metà 2024. C'è tempo per prepararti, ma dovresti iniziare subito a pianificare.

1. Controlla se nel tuo codice sono presenti cookie con SameSite=None. Questi sono i cookie che richiederanno aggiornamenti.
2. Se non hai cookie di terze parti, assicurati che i cookie dello stesso sito stanno usando i migliori cookie proprietari ricette
3. Se utilizzi questi cookie in un contesto incorporato completamente contenuto, Esamina e testa la proposta CHIPS.
4. Se hai bisogno di questi cookie su più siti che formano un unico gruppo coeso, quindi esamina gli insiemi proprietari proposta.
5. Se non rientri in nessuna di queste opzioni, devi: Esamina le altre proposte di Privacy Sandbox in cui stiamo sviluppando API create ad hoc per singoli casi d'uso che non si basano sul monitoraggio tra siti.

Questa è solo una breve panoramica e continueremo a condividere altre notizie e man mano che il lavoro progredisce. Se hai domande, problemi o vuoi i risultati del tuo lavoro, poi ti proponiamo numerosi percorsi per in contatto.

Quindi ricorda: i biscotti possono essere deliziosi, ma solo pochi alla volta e sicuramente non cercare di rubare quelli di nessun altro!