כדאי להתכונן להוצאה משימוש של קובצי Cookie של צדדים שלישיים

המדריך הזה יעזור לכם להבין את ההשפעה של סיום התמיכה של Chrome בקובצי Cookie של צד שלישי על התוסף שלכם, ואת השינויים שצריך לבצע בו.

סקירה כללית

ב-4 בינואר 2024, Chrome הציג את התכונה חסימת מעקב, שמגבילה את הגישה של אתרים לקובצי Cookie של צד שלישי (3P) כברירת מחדל, ל-1% מהמשתמשים. בתחילת 2025, ב-Chrome צפויים להפסיק את השימוש בקובצי Cookie מצד שלישי באופן מלא.

לפחות שני תהליכים שעוברים משתמשים מושפעים בתוספים ל-Classroom:

  1. תהליך הכניסה היחידה (SSO) של Google
  2. הפעלת משתמשים בכרטיסיות חדשות

כניסה יחידה (SSO) של Google

במהלך תהליך הכניסה באמצעות SSO של Google, המשתמשים מועברים לתיבת דו-שיח כדי להיכנס לחשבון Google שלהם ולאשר את שיתוף הנתונים.

הדמיה של שלושת ההקשרים השונים של קובצי Cookie במהלך כניסה יחידה (SSO) מתוך iframe

איור 1. הדמיה של שלושה הקשרים שונים של קובצי Cookie במהלך כניסה יחידה (SSO) מתוך iframe:‏ (1) אפליקציית Classroom ברמה העליונה, (2) iframe מוטבע של צד שלישי (DavidPuzzle ב-localhost במקרה הזה) ו-(3) תיבת הדו-שיח של OAuth ברמה העליונה.

בדרך כלל, בהטמעה של תוסף, קובץ Cookie של סשן מוגדר בסיום תהליך הכניסה הזה. ה-iframe של התוסף, שנמצא בהקשר מוטמע, נטען מחדש, ועכשיו הוא כולל את קובץ ה-Cookie של הסשן. כך המשתמש יכול לגשת לסשן המאומת שלו. עם זאת, כשקובצי Cookie של צד שלישי מושבתים, אתרים בהקשר מוטמע כמו iframe של תוסף לא יכולים לגשת לקובצי Cookie מההקשרים ברמה העליונה שלהם. בתוספים ל-Classroom, המשתמש לא יכול לגשת לסשן המאומת שלו והוא נתקע בלולאת כניסה.

במקרים שבהם קובץ ה-Cookie של הסשן מוגדר בהקשר של iframe מוטמע, אפשר לפתור את הבעיה באמצעות CHIPS API, שמאפשר לאתרים מוטמעים להגדיר קובצי Cookie מחולקים (קובצי Cookie שמקבלים מפתח גם מהדומיין המטמיע וגם מהדומיין המוטמע) ולגשת אליהם. עם זאת, הטמעות שמגדירות את קובץ ה-Cookie של הסשן בהקשר ברמה העליונה של תיבת הדו-שיח לכניסה לא יכולות לגשת לקובץ ה-Cookie שלא חולק במאפיין iframe, ולכן הכניסה נחסמת.

כרטיסיות חדשות

מסיבות דומות, אם למשתמש יש סשן מאומת שמבוסס על קובצי Cookie ב-iframe של תוסף, וה-iframe מפעיל את המשתמש בכרטיסייה חדשה ברמה העליונה לפעילות, הכרטיסייה ברמה העליונה לא יכולה לגשת לקובץ ה-Cookie של הסשן שחולק מה-iframe. ההגדרה הזו מונעת את השמירה של מצב הסשן של iframe בפעילות של הכרטיסייה החדשה, ועשויה לחייב את המשתמש להיכנס שוב לכרטיסייה החדשה, למשל. CHIPS API לא יכול לפתור את הבעיה הזו, כי קובצי ה-Cookie של iframe עם חלוקה למחיצות לא נגישים בהקשר של רמה עליונה.

פעולות למפתחים

יש כמה פעולות שכדאי לבצע כדי לוודא שהתוסף ימשיך לפעול כמו שצריך כש-Chrome יפסיק לתמוך בקובצי Cookie של צד שלישי.

  1. בודקים איפה התוסף משתמש בקובצי Cookie של צד שלישי בתהליכים הקריטיים של המשתמשים. באופן ספציפי, מומלץ לבצע בדיקות עם השבתה של קובצי Cookie של צד שלישי כדי להעריך את ההשפעה על ההטמעה הספציפית שלכם.

  2. מידע נוסף על Storage Access API לגבי כל ההטמעות של תוספים, מומלץ להשתמש ב-API של Storage Access‏ (SAA). ה-API מאפשר למסגרות iframe לגשת לקובצי ה-Cookie שלהן מחוץ להקשר של ה-iframe. התכונה SAA זמינה היום ב-Chrome, והיא נתמכת באפליקציית Classroom.

  3. הצטרפות ל-FedCM בנוסף, אם אתם משתמשים ב-GIS, בספריית הכניסה באמצעות חשבון Google, ההמלצה הרשמית של צוות הזהויות היא להפעיל את FedCM. הפתרון הזה לא מחליף את היכולות של קובצי Cookie של צד שלישי, אבל בסופו של דבר הוא יידרש ב-GIS כחלק מהוצאה משימוש של קובצי Cookie של צד שלישי. התכונה FedCM זמינה היום ב-Chrome ונתמכת ב-Classroom, אבל ההתנהגות והתכונות שלה עדיין בפיתוח ואנחנו פתוחים למשוב.

  4. מעבר ל-GIS. אם אתם משתמשים בספריית GSIv2 שיצאה משימוש, שנקראת גם ספריית הכניסה לחשבון Google, מומלץ מאוד לעבור ל-GIS, כי לא ברור אם תהיה תמיכה ב-GSIv2 בעתיד.

  5. שליחת בקשה להארכת תקופת הניסיון של הוצאה משימוש ‫Chrome מציע ניסיון להוצאה משימוש כדי לאפשר לתרחישי שימוש שלא קשורים לפרסום לדחות את ההשפעות של ההוצאה משימוש של קובצי Cookie של צד שלישי (3PCD). אם הבקשה תאושר, תקבלו אסימון שתוכלו להשתמש בו בתוסף כדי להמשיך להפעיל קובצי Cookie של צד שלישי עבור המקור שלכם עד שנת 2024, בזמן שאתם עוברים לפתרון לטווח ארוך כמו SAA. אחרי הגשת הבקשה, תתבקשו לספק מזהה באג או קישור לדוח על תקלה. הצוות שלנו כבר הגיש את הבקשה הזו לגבי תוספים ל-Classroom, ואפשר לספק את הבאג הזה.