Zezwalanie deweloperom na umieszczanie plików cookie w „partycjonowanym” miejscu na dane z oddzielnym „kontenerem” dla każdej witryny najwyższego poziomu.
Stan wdrożenia
- Chrome 114 及更高版本默认支持。
- Chrome 100 至 Chrome 116 已有一项源试用现已结束,
- 阅读实验意图和发布意图。
Co to jest CHIPS?
Pliki cookie z niezależnym stanem partycji (ang. Cookies Having Independent Partitioned State, CHIPS) umożliwiają deweloperom umieszczanie plików cookie w partycjonowanym magazynie z osobnymi plikami cookie dla każdej witryny najwyższego poziomu, co zwiększa prywatność i bezpieczeństwo użytkowników.
Bez partycjonowania pliki cookie innych firm mogą umożliwiać usługom śledzenie użytkowników i łączenie ich informacji z wielu niezwiązanych ze sobą witryn najwyższego poziomu. Jest to tzw. śledzenie w witrynach.
CHIPS, interfejs Storage Access API i zestawy powiązanych witryn to jedyny sposób na odczytywanie i zapisywanie plików cookie z kontekstów międzywitrynowych, takich jak iframe, gdy pliki cookie innych firm są zablokowane.
CHIPS wprowadza nowy atrybut pliku cookie, Partitioned
, aby obsługiwać pliki cookie z innych witryn, które są dzielone na konteksty najwyższego poziomu.
Nagłówek Set-Cookie:
Set-Cookie: __Host-name=value; Secure; Path=/; SameSite=None; Partitioned;
JavaScript:
document.cookie="__Host-name=value; Secure; Path=/; SameSite=None; Partitioned;"
Partycjonowany plik cookie innej firmy jest powiązany z witryną najwyższego poziomu, w której został początkowo ustawiony, i nie można uzyskać do niego dostępu z innych miejsc. Dzięki temu pliki cookie ustawione przez usługę innej firmy mogą być odczytywane tylko w ramach tego samego kontekstu wbudowanego w witrynie najwyższego poziomu, w której zostały pierwotnie ustawione.
Gdy użytkownik odwiedza witrynę A, a zawartość umieszczona w niej z witryny C ustawia plik cookie z atrybutem Partitioned, plik cookie jest zapisywany w podziale jar przeznaczonym tylko do plików cookie ustawianych przez witrynę C, gdy jest ona umieszczona w witrynie A. Przeglądarka wyśle ten plik cookie tylko wtedy, gdy witryna najwyższego poziomu to A.
Gdy użytkownik odwiedza nową witrynę, np. witrynę B, osadzony w niej element C frame nie otrzyma pliku cookie, który został ustawiony, gdy element C został osadzony w witrynie A.
Jeśli użytkownik odwiedza witrynę C jako witrynę najwyższego poziomu, w tym żądaniu nie zostanie też wysłany plik cookie partycjonowany, który został ustawiony w witrynie C, gdy została ona umieszczona w witrynie A.
Przypadki użycia
Na przykład witryna retail.example
może współpracować z usługą zewnętrzną support.chat.example
, aby osadzić w niej okno czatu z zespołem pomocy. Wiele usług czatu, które można umieszczać w witrynach, korzysta obecnie z plików cookie do zapisywania stanu.
Bez możliwości ustawienia pliku cookie w wielu witrynach support.chat.example
musiałby znaleźć alternatywne, często bardziej złożone metody przechowywania stanu. Alternatywnie można go umieścić na stronie najwyższego poziomu, co wiąże się z ryzykiem, ponieważ skrypt support.chat.example
ma wtedy podwyższone uprawnienia w przypadku retail.example, np. możliwość dostępu do plików cookie uwierzytelniających.
CHIPS to prostsza opcja umożliwiająca dalsze korzystanie z plików cookie śledzących w wielu witrynach bez ryzyka związanego z plikami cookie bez partycji.
Przykładowe przypadki użycia usługi CHIPS to wszystkie scenariusze, w których subresursy w wielu witrynach wymagają pewnego rodzaju sesji lub trwałego stanu, który jest ograniczony do aktywności użytkownika w pojedynczej witrynie najwyższego poziomu, np.:
- Wstawione czaty firm zewnętrznych
- Umieszczenie mapy innej firmy
- Umieszczone płatności innych firm
- Równoważenie obciążenia CDN w przypadku zasobów podrzędnych
- Dostawcy CMS bez interfejsu graficznego
- domeny piaskownicy do wyświetlania treści użytkowników, którym nie ufamy (np. googleusercontent.com i githubusercontent.com);
- zewnętrzne sieci CDN, które używają plików cookie do wyświetlania treści, do których dostęp jest kontrolowany przez stan uwierzytelniania w witrynie własnej (np. zdjęcia profilowe w witrynach społecznościowych hostowanych w zewnętrznych sieciach CDN);
- frameworki frontendu, które korzystają z interfejsów API zdalnych używających plików cookie w żądaniach;
- Wstawione reklamy, które wymagają stanu ograniczonego do wydawcy (np. rejestrowanie preferencji reklam użytkowników w przypadku danej witryny)
Dlaczego usługa CHIPS korzysta z modelu partycjonowania z wymuszoną zgodą
W przypadku zablokowanego dostępu do niepartycjonowanych plików cookie innych firm wypróbowano kilka innych metod partycjonowania.
Firefox ogłosił, że domyślnie dzieli wszystkie pliki cookie innych firm w trybie ETP (Enhanced Tracking Protection) i w trybie przeglądania prywatnego, więc wszystkie pliki cookie między witrynami są dzielone według witryn najwyższego poziomu. Jednak podział plików cookie bez zgody innych firm może prowadzić do nieoczekiwanych błędów, ponieważ niektóre usługi innych firm mają serwery, które oczekują niespartitionowanego pliku cookie.
Safari próbowało już dzielić pliki cookie na podstawie heurystyki, ale ostatecznie zdecydowało się na ich całkowite zablokowanie, podając jako jeden z powodów dezorientację deweloperów. Niedawno Safari wyraziło zainteresowanie modelem opartym na zgodzie użytkownika.
Różnica między CHIPS a dotychczasowymi implementacjami partycjonowanych plików cookie polega na tym, że w przypadku CHIPS użytkownik musi wyrazić zgodę na gromadzenie danych przez podmiot zewnętrzny. Aby pliki cookie można było wysyłać w żądaniach między domenami po wycofaniu (niepartycjonowanych) plików cookie innych firm, muszą one być ustawione z nowym atrybutem.
Chociaż pliki cookie innych firm nadal istnieją, atrybut Partitioned
umożliwia wyrażenie zgody na bardziej restrykcyjne i bezpieczne działanie plików cookie. CHIPS to ważny krok, który pomoże usługom płynnie przejść na przyszłość bez plików cookie innych firm.
Projekt techniczny podziału plików cookie
Obecnie pliki cookie są kluczowane na podstawie nazwy hosta lub domeny witryny, która je ustawiła, czyli ich klucza hosta.
Na przykład w przypadku plików cookie z domeny https://support.chat.example
kluczem hosta jest ("support.chat.example")
.
W ramach CHIPS pliki cookie, które kwalifikują się do partycjonowania, będą miały podwójny klucz: klucz hosta i klucz partycji.
Klucz partycji pliku cookie to witryna (schemat i domena możliwa do rejestracji) domeny najwyższego poziomu, którą przeglądarka odwiedziła na początku żądania do punktu końcowego, który ustawił plik cookie.
W przypadku wcześniejszego przykładu, w którym strona https://support.chat.example
jest umieszczona w witrynie https://retail.example
, adres URL najwyższego poziomu to https://retail.example
.
W tym przypadku kluczem partycji jest ("https", "retail.example")
.
Podobnie klucz partycji żądania to witryna z adresem URL najwyższego poziomu, którą przeglądarka odwiedza na początku żądania. Przeglądarki muszą wysyłać plik cookie z atrybutem Partitioned
tylko w żądaniach z tym samym kluczem partycji.
Oto jak klucz pliku cookie w danym przykładzie wyglądał przed i po wprowadzeniu CHIPS.
Przed CHIPS
key=("support.chat.example")
Po CHIPS
key={("support.chat.example"),("https", "retail.example")}
Projektowanie zabezpieczeń
Aby zachęcić do stosowania dobrych metod zabezpieczania, w ramach CHIPS pliki cookie są ustawiane i wysyłane tylko za pomocą bezpiecznych protokołów.
- Pliki cookie z oddzielonymi wartościami muszą być ustawiane za pomocą funkcji
Secure
. - Zalecamy, aby podczas konfigurowania plików cookie z partycjami używać prefiksu
__Host-
, aby były one powiązane z nazwą hosta (a nie z domeną rejestrowaną).
Przykład:
Set-Cookie: __Host-example=34d8g; SameSite=None; Secure; Path=/; Partitioned;
Alternatywy dla CHIPS
Interfejs Storage Access API i powiązane z nim zestawy powiązanych witryn (RWS) to mechanizmy platformy internetowej, które umożliwiają ograniczony dostęp do plików cookie w różnych witrynach na potrzeby konkretnych działań skierowanych do użytkowników.
To alternatywa dla partycjonowania CHIPS, gdy wymagany jest dostęp do niepartycjonowanych plików cookie w witrynach.
Rozważ użycie interfejsu Storage Access API i zbiorów powiązanych witryn w sytuacjach, gdy chcesz, aby ten sam plik cookie był dostępny dla usługi, która jest osadzona w wielu powiązanych witrynach.
Dzięki temu usługa może działać jako izolowany komponent w wielu witrynach, w których nie musi być dostępny ten sam plik cookie. Jeśli usługa ustawia plik cookie podzielony, jego kluczem partycji będzie witryna najwyższego poziomu, a plik cookie nie będzie dostępny dla innych witryn, które również korzystają z tej usługi.
Projekt zestawów powiązanych witryn opiera się na interfejsie Storage Access API i nie integruje się z podziałem CHIPS. Jeśli masz przypadek użycia, który opiera się na współdzielonej partycji plików cookie w witrynach w ramach RWS, możesz przekazać przykłady i opinie na temat problemu w GitHub.
Prezentacja
W tej prezentacji dowiesz się, jak działają pliki cookie z partycjami i jak je sprawdzać w Narzędziach deweloperskich.
Witryna A umieszcza element iframe z witryny B, który używa kodu JavaScript do ustawienia 2 plików cookie: podzielonego i niepodzielonego. Witryna B wyświetla wszystkie pliki cookie dostępne z tego miejsca za pomocą document.cookie
.
Gdy pliki cookie innych firm są zablokowane, witryna B będzie mogła ustawić i uzyskać dostęp do pliku cookie z atrybutem Partitioned
tylko w kontekście wielu witryn.
Gdy pliki cookie innych firm są dozwolone, witryna B może również ustawić plik cookie bez partycji i do niego uzyskać dostęp.
Wymagania wstępne
- Chrome 118 lub nowsza.
- Otwórz
chrome://flags/#test-third-party-cookie-phaseout
i włącz to ustawienie
Sprawdzanie partycjonowanych plików cookie za pomocą Narzędzi deweloperskich
- Wejdź na stronę https://chips-site-a.glitch.me.
- Aby otworzyć Narzędzia dla programistów, naciśnij
Control+Shift+J
(lubCommand+Option+J
na Macu). - Kliknij kartę Application (Aplikacja).
- Kliknij Aplikacja > Pamięć > Pliki cookie.
- Kliknij
https://chips-site-b.glitch.me
.
Narzędzia dla programistów wyświetlą wszystkie pliki cookie z wybranej domeny.
Witryna B może ustawić tylko partycjonowany plik cookie w kontekście wielu witryn, a niepartycjonowany plik cookie zostanie zablokowany:
- Powinieneś zobaczyć
__Host-partitioned-cookie
z kluczem partycji witryny najwyższego poziomuhttps://chips-site-a.glitch.me
.
- Kliknij Otwórz witrynę B.
- W DevTools kliknij Aplikacja > Pamięć > Pliki cookie.
- Kliknij
https://chips-site-b.glitch.me
.
W tym scenariuszu, ponieważ znajdujesz się w witrynie B w kontekście najwyższego poziomu, witryna ta może ustawiać i dostępować do obu plików cookie:
unpartitioned-cookie
ma pusty klucz partycji.- Plik cookie
__Host-partitioned-cookie
ma klucz partycjihttps://chips-site-b.glitch.me
.
Jeśli wrócisz do witryny A, unpartitioned-cookie
zostanie zapisana w przeglądarce, ale nie będzie dostępna z witryny A.
- Kliknij Otwórz witrynę A.
- Kliknij kartę Sieć.
- Kliknij
https://chips-site-b.glitch.me
. - Kliknij kartę Pliki cookie.
W witrynie A powinieneś/powinnaś zobaczyć __Host-partitioned-cookie
z kluczem partycji witryny najwyższego poziomu https://chips-site-a.glitch.me
.
Jeśli zaznaczysz pokaż odfiltrowane pliki cookie żądania, w Narzędziach deweloperskich zobaczysz, że plik cookie bez partycji jest zablokowany. Jest on wyróżniony na żółto i oznaczony etykietą „Ten plik cookie został zablokowany ze względu na preferencje użytkownika”.
.W sekcji Aplikacja > Pamięć > Pliki cookie kliknięcie https://chips-site-b.glitch.me
pozwala wyświetlić:
unpartitioned-cookie
z pustym kluczem partycji.__Host-partitioned-cookie
z kluczem partycjihttps://chips-site-a.glitch.me
.
Usuń pliki cookie
Aby zresetować wersję demonstracyjną, usuń wszystkie pliki cookie powiązane z tą witryną:
- Aby otworzyć Narzędzia dla programistów, naciśnij
Control+Shift+J
(lubCommand+Option+J
na Macu). - Kliknij kartę Application (Aplikacja).
- Kliknij Aplikacja > Pamięć > Pliki cookie.
- Kliknij
https://chips-site-b.glitch.me
prawym przyciskiem myszy. - Kliknij Wyczyść.
Zasoby
- GitHub przeczytaj tę instrukcję, zadawaj pytania i obserwuj dyskusję.
- Pomoc dla deweloperów: zadawaj pytania i ucz się na podstawie dyskusji w repozytorium Piaskownicy prywatności dla deweloperów.