Es ist wichtig, dass sich Websites und Dienste auf die Einschränkungen für Drittanbieter-Cookies vorbereiten, einschließlich der Umstellung auf datenschutzfreundlichere Alternativen.
Um Entwickler bei der Umstellung zu unterstützen, werden in Chrome während dieser Zeit auch Heuristiken verwendet, die für vordefinierte Abläufe vorübergehenden Zugriff auf Drittanbieter-Cookies gewähren, um Unterbrechungen zu vermeiden. In bestimmten Fällen wird der Zugriff automatisch gewährt, ohne dass Entwickler zusätzliche Arbeit leisten müssen. Dies ist jedoch eine vorübergehende Maßnahme. Wir gehen davon aus, dass die Heuristiken in Zukunft vollständig entfernt werden und Entwickler zu langfristigen Lösungen migrieren werden.
Heuristisch basierte Ausnahmeszenarien
{# disableFinding("pop-up")} Die Heuristiken sollen vor allem Authentifizierungsszenarien erkennen, bei denen eine Website der obersten Ebene entweder ein Pop-up-Fenster öffnet oder für einen Vorgang zu einer Drittanbieterwebsite weiterleitet und dann zur Website der obersten Ebene zurückkehrt, wobei ein Cookie entweder auf dem Rückweg oder im eingebetteten Kontext verwendet wird.
In den folgenden Beispielen wird beschrieben, in welchen Fällen der Browser basierend auf bestimmten Vertrauenssignalen automatisch Drittanbieter-Cookies zulässt. Diese Vertrauenssignale sind weitgehend musterbasiert und beruhen auf Anforderungen an die Nutzerinteraktion.
Szenario A: Zugriff auf Drittanbieter-Cookies nach Pop-up-Interaktion
- Der Nutzer ruft Website A auf
- Der Nutzer lädt eine Ressource auf Website B in einem Pop-up-Fenster mit Öffnerzugriff, möglicherweise nach einer Reihe von HTTP-Weiterleitungen*.
- Die Ressource auf Website B erhält nach dem Laden eine Nutzerinteraktion.
Nach diesem Ablauf ist für 30 Tage der Zugriff auf Drittanbieter-Cookies für Website B zulässig, wenn sie in Website A eingebettet ist.
Szenario B: Zugriff auf Drittanbieter-Cookies nach Interaktion über Weiterleitungen
- Der Nutzer beginnt auf Website A und wird dann zu Website B weitergeleitet.
- Auf Website B erfolgt eine Nutzerinteraktion.
- Website B leitet dann (möglicherweise über andere Ursprünge) zurück zu Website A weiter.
Nach diesem Ablauf ist für 15 Minuten der Zugriff auf Drittanbieter-Cookies für Website B zulässig, wenn sie in Website A eingebettet ist.
Die Cookie-Zugriffsberechtigung gilt nur für die Kombination aus Website des Unternehmens und Website des Drittanbieters. Wenn beispielsweise ein Szenario mit der Website „a.com
“ und der Website „b.com
“ erfüllt ist, darf jede Seite auf „b.com
“ auf Cookies zugreifen, wenn sie als Ressource oder Iframe auf einer beliebigen Seite auf „a.com
“ geladen wird. Diese Genehmigung gilt nicht für andere Drittanbieterwebsites unter a.com
, b.com
als Drittanbieterressource einer anderen Top-Level-Domain oder b.com
, wenn sie indirekt in a.com
mit anderen websiteübergreifenden (d.h. nicht a.com
oder b.com
) Iframes in der übergeordneten Kette eingebettet ist . Außerdem darf der Cookie-Zugriff nicht für Ressourcen von b.com
gewährt werden, die über andere Iframes eingebettet sind, die websiteübergreifend für b.com
sind.
Ausführlichere Informationen zu den Heuristiken finden Sie im entsprechenden Erläuterungsartikel.
In der Demo zu heuristisch basierten Ausnahmen können Sie den Zugriff auf Drittanbieter-Cookies mit und ohne heuristische Ausnahmen testen.