不気味なクッキーなし

クッキーの出来は鮮度が際立っています。古くなったクッキーなしで不気味な季節を満喫するための最新のレシピは何ですか?

クッキーの鮮度は極めて高いため、Cookie の使用を今後も継続できる最新のレシピは何でしょうか。 古くなったクッキーなしでハロウィーンを満喫しませんか?

Google はウェブ全体でサードパーティ Cookie の段階的廃止を進めている 説明します。クロスサイト トラッキングへの取り組みにおける大きな節目となりますが、 かなり長い道のりです。これまでの成果と もっと楽しみましょう...

表面的には、Cookie は単純な Key-Value ストアであり、 ブラウザとサーバーの間で通信が行われます。これにより、次のような便利な機能をサイトで提供できます 設定の保存: theme=bats、またはログインのセッション ID の保存 できます。

theme=bats や fav_pumpkins=us-nyc などの単純な値を含むサードパーティ Cookie

Cookie を設定したのと同じサイトでその Cookie が使用されている場合、Google は ファーストパーティ Cookie について 理解しておく必要がありますサイトとは異なるサイトで使用されている場合 サードパーティ Cookie と呼びますたとえば、 theme=bats Cookie が設定されたのと同じサイトにアクセスした場合、Cookie はファーストパーティになります。 ただし、モジュールの一部として iframe や他のクロスサイト リソースに サードパーティ Cookie となります

サードパーティ Cookie の問題は、クロスサイト Cookie を有効にできること トラッキングできます共有サービスは、テーマのようなものを設定するのではなく、 識別子全体を格納します同じ識別子が 共有サービス Cookie を含むさまざまなサイト間を移動する(共有サービス Cookie が含まれる) 1 つのサービスで、複数のサイトにまたがるユーザーのアクティビティを監視してリンクできます。

サードパーティ サイトがウェブ上のユーザーをトラッキングできるようにする一意の ID を保持するサードパーティ Cookie

ファーストパーティの Cookie をデフォルトに設定する

ここでの道のりは、すでに着実に進んでいます!かつては プレーンな Cookie: theme=pumpkins は、すべてのコンテキスト(same-site または あります。大半のサイトは Cookie を 同一サイト コンテキストです。これは、環境変数の SameSite 属性で制御できます。 できます。例:

Set-Cookie: theme=bats; SameSite=Lax

これにより、ブラウザはリソースが一致する場合にのみ Cookie を送信するよう指示します。 できます。つまり、サイトでいつコンテンツを表示するかを 設定しましたセキュリティの面では 逆に言えば 追加の権限が必要になったときに確認するよう求められるはずです。 あります。

これで、SameSite=Lax がデフォルトになりました。theme=bats を設定しただけでは、 同じサイトのコンテキストで送信する必要があります

デフォルトの SameSite=Lax 値により、サードパーティ コンテキストでの Cookie の送信が阻止されます。

クロスサイト Cookie またはサードパーティ Cookie(たとえば、 埋め込みウィジェット内に表示される)では、次の要素を指定する必要があります。

Set-Cookie: theme=bats; SameSite=None; Secure
明示的な SameSite=None 値を指定すると、Cookie がクロスサイト コンテキストで送信されるようマークされます

これにより、クロスサイト コンテキストで Cookie が送信されるようにブラウザに指示されますが、 保護する接続だけに制限する必要があります

さらに美味しいファーストパーティ Cookie

デフォルト設定は若干改善されていますが、まだ改善の余地があります。 表示されます。一言だけ紹介します。

Set-Cookie:  __Host-theme=bats;
  Secure;
  Path=/;
  HttpOnly;
  Max-Age=7776000;
  SameSite=Lax;

ファーストパーティの Cookie を 1 つのドメインだけに制限し 安全な接続、JavaScript によるアクセスはなく、その前に自動的に期限切れになる 古くなりがちであり、当然ながら同一サイトのコンテキストでしか許可されません。

CHIPS でクッキーをおいしく食べる

ウェブの優れた機能の 1 つは、複数のサイトを作成できることです。 説明します。たとえば、他のサイトで おすすめのパンプキン パッチ ツアーやトリックオアトリート ルートなどがあるでしょう。サービスで Cookie を使用している ユーザーがルート上の進捗状況を保存できるようにします。問題は パンプキン パッチ サイトで発行されるサードパーティ Cookie は、 トリック オア トリート サイトです。サイト間でユーザーをトラッキングしたくありませんが、 ブラウザで使用される Cookie 瓶は 1 つだけです。この使用を区別する方法はありません。

SameSite=None を指定したクロスサイト Cookie はすべて共有 Cookie ジャーに入ります

Cookie は独立パーティション分割状態 つまり CHIPS を使用して 提案が入ります1 つの共有クッキージャーではなく Cookie の jar をトップレベル サイト単位で分割します。オプトインするには、 Cookie の Partitioned 属性などです。

Set-Cookie: __Host-route=123;
  SameSite=None;
  Secure;
  Path=/;
  Partitioned;
Cookie の Partitioned 属性により、トップレベル サイトごとに個別の Cookie jar が作成される

クッキーの瓶を分ける代わりに、みんなで作ってくれます。シンプル、 より安全で衛生的に保たれます。

インテントを 発送 Cookie が Independent Partitioned State である場合 (CHIPS)にアップグレードされます。つまり、 12 月にベータ版でテストでき、2023 年 1 月に安定版が公開されます。 たとえば、サイトの Cookie を改善する新年の抱負を探している場合 試してみて、そこにチップスを振りかけられるか確かめてください。 あります。

ファーストパーティ セットを使用して Cookie をパーティに招待する

また、デベロッパーの皆様からのフィードバックでは、 自社が管理する複数のサイト間でサービスを共有する状況です。 それらのサービス間で Cookie を使用できるが、真のサードパーティで送信することはできない 学びます。たとえば、pretty-pumpkins.com があり、 pretty-pumpkins.co.uk。Cookie ベースのシングル サインオン システムや すべてのサイトで機能しますCHIPS は、 両方で同じ Cookie を使用する必要があります。 確認できます

Google では、この仕組みを実現するファーストパーティ セットの提案の開発に取り組んでいます。 1 回のオリジントライアルと 多くのコミュニティディスカッションを経て 次のことを目的とする最新バージョンをリリースしました。

  • 組織が対象となるサイトのグループを定義できるようにする 行われています。
  • Storage Access API を利用してクロスサイト Cookie へのアクセスをリクエストする そのファーストパーティデータセット内に あります
ファーストパーティ セットでは、関連サイト間でのみ共有 Cookie JAR を許可する

どのクッキーもまだオーブンで焼かれていますが、 ファーストパーティ セットに関するデベロッパー ガイドを テストすべきものがまだあるか WICG/ファーストパーティ セットのプロポーザル 選択します。

Cookie を失効させないようにしましょう。

Google は、Chrome のサードパーティ Cookie のサポートを段階的に廃止することを リリースされます。準備にはまだ時間がありますが、今すぐ計画を開始しましょう。

  1. SameSite=None を使用して、すべての Cookie についてコードを監査します。これらは いくつかあります。
  2. サードパーティ Cookie を使用していない場合は、同一サイト Cookie を使用していることを確認してください。 最も優れたファーストパーティ Cookie を使用 レシピ
  3. 完全な形で埋め込まれたコンテキストでこれらの Cookie を使用する場合、 CHIPS 提案を調査、テストします。
  4. 1 つのまとまりのあるグループを形成する複数のサイトで これらの Cookie が必要な場合は ファーストパーティ セットと 提案をご覧ください。
  5. いずれのオプションも対象にならない場合は、以下を行う必要があります。 他のプライバシー サンドボックスの提案をご覧いただき、 特定のユースケースに特化して 開発された API を おすすめします

これは簡単な概要にすぎません。今後も引き続きニュースと情報をお伝えしてまいりますので、 ガイダンスを提供します。ご不明な点や問題がある場合は、 作業の結果を共有することもできます。その後、Google が提案するルートを 連絡してください

ですから、クッキーは美味しいこともありますが、一度に数件しかなく、 他人を盗むな!