Nếu trang web của bạn sử dụng cookie bên thứ ba, đã đến lúc thực hiện hành động khi chúng ta đang tiến gần việc loại bỏ chúng. Trình duyệt Chrome dự định sẽ tắt cookie bên thứ ba cho 1% người dùng từ Quý 1 năm 2024 để hỗ trợ thử nghiệm, và sau đó tăng lên 100% người dùng từ Quý 3 năm 2024. Việc tăng lên 100% người dùng phụ thuộc vào việc giải quyết bất kỳ vấn đề cạnh tranh còn lại nào của Cơ quan Cạnh tranh và Thị trường của Vương quốc Anh (CMA).
Mục tiêu của chúng tôi với Privacy Sandbox là giảm theo dõi qua các trang web khác nhau trong khi vẫn giữ cho chức năng giữa nội dung trực tuyến và dịch vụ có sẵn miễn phí cho mọi người. Việc loại bỏ và ngừng sử dụng cookie bên thứ ba đóng gói cả thách thức, vì chúng kích hoạt chức năng quan trọng trong việc đăng nhập, bảo vệ chống gian lận, quảng cáo và chung là khả năng nhúng nội dung bên thứ ba đầy đủ và đa dạng vào trang web của bạn—nhưng đồng thời chúng cũng là nguyên nhân chính của việc theo dõi qua các trang web khác nhau.
Trong cột mốc lớn trước đó của chúng tôi, chúng tôi đã ra mắt một loạt các API cung cấp một sự thay thế tập trung vào quyền riêng tư cho hiện trạng hiện tại về các trường hợp sử dụng như nhận dạng, quảng cáo và phát hiện gian lận. Với các phương thức thay thế đã có, chúng ta có thể bắt đầu loại bỏ dần cookie bên thứ ba.
Trong loạt bài đếm ngược Cookie này, chúng tôi sẽ hướng dẫn bạn qua các bước thời gian và hành động ngay lập tức mà bạn có thể thực hiện để đảm bảo trang web của bạn đã sẵn sàng.
1% việc loại bỏ cookie bên thứ ba và thử nghiệm được hỗ trợ bởi Chrome
Trên dòng thời gian của privacysandbox.com, bạn có thể thấy hai cột mốc đang đến gần vào Quý 4 năm 2023 và Quý 1 năm 2024 là một phần của chế độ thử nghiệm được hỗ trợ bởi Chrome. Thử nghiệm này chủ yếu dành cho các tổ chức đang thử nghiệm tính linh hoạt và đo lường của API Privacy Sandbox, tuy nhiên, như một phần của đó, chúng tôi sẽ tắt cookie bên thứ ba cho 1% người dùng Chrome ổn định.
Điều này có nghĩa là từ đầu năm 2024, bạn có thể mong đợi thấy một phần lớn người dùng Chrome truy cập trang web của bạn với cookie bên thứ ba bị tắt, ngay cả khi bạn không tham gia tích cực vào quá trình kiểm thử được thuận lợi bởi Chrome. Giai đoạn kiểm thử này sẽ tiếp tục đến Q3 năm 2024, khi sau cuộc thảo luận với CMA và dựa trên việc giải quyết mọi lo ngại về cạnh tranh, chúng tôi dự định bắt đầu vô hiệu hóa cookie bên thứ ba cho tất cả người dùng Chrome.
Chuẩn bị cho việc loại bỏ cookie bên thứ ba
Chúng tôi đã chia quá trình thành các bước chính sau đây, với chi tiết bên dưới, để đảm bảo bạn đã sẵn sàng để trang web của mình chạy mà không cần cookie bên thứ ba:
- Kiểm tra việc sử dụng cookie bên thứ ba của bạn.
- Kiểm thử xem có sự hỏng hại nào không.
- Đối với cookie qua các trang web lưu trữ dữ liệu dựa trên cơ sở từng trang web, như một bộ nhớ nhúng, xem xét lựa chọn
Partitionedvới CHIPS. - Đối với cookie qua các trang web chéo một nhóm nhỏ các trang web có liên quan có ý nghĩa, xem xét Related Website Sets.
- Đối với các trường hợp sử dụng cookie bên thứ ba khác, chuyển đổi sang các relevant web APIs.
1. Kiểm tra việc sử dụng cookie bên thứ ba của bạn
Cookie bên thứ ba có thể được xác định qua giá trị SameSite=None. Bạn nên tìm trong mã của mình để xem có bất kỳ trường hợp nào bạn đã đặt thuộc tính SameSite với giá trị này. Nếu bạn đã thực hiện các thay đổi để thêm SameSite=None vào cookie của mình vào khoảng năm 2020, thì những thay đổi đó có thể là một điểm bắt đầu tốt.
Bảng mạng của Chrome DevTools hiển thị các cookie được đặt và gửi trong các yêu cầu. Trong bảng ứng dụng, bạn có thể thấy mục Cookies dưới Storage. Bạn có thể duyệt qua các cookie được lưu trữ cho mỗi trang được truy cập như một phần của tải trang. Bạn có thể sắp xếp theo cột SameSite để nhóm tất cả các cookie có giá trị None.
Từ Chrome 118, tab Vấn đề của DevTools hiển thị vấn đề thay đổi, “Cookie được gửi trong ngữ cảnh chéo trang web sẽ bị chặn trong các phiên bản Chrome tương lai.” Vấn đề liệt kê các cookie có thể bị ảnh hưởng cho trang hiện tại.
Chúng tôi đang xây dựng một tiện ích mở rộng DevTools để hỗ trợ phân tích việc sử dụng cookie trong các phiên duyệt. Điều này sẽ cung cấp các đường dẫn gỡ lỗi cho cookie và tính năng Privacy Sandbox, với điểm truy cập để hiểu và nắm bắt các khía cạnh khác nhau của sáng kiến Privacy Sandbox.
Hãy chờ đợi sự ra mắt xem trước vào tháng 11 năm 2023!
Nếu bạn xác định được cookie được đặt bởi bên thứ ba, bạn nên kiểm tra với những nhà cung cấp đó để xem họ có kế hoạch gì cho việc loại bỏ cookie bên thứ ba hay không. Ví dụ, bạn có thể cần nâng cấp phiên bản của một thư viện bạn đang sử dụng, thay đổi một tùy chọn cấu hình trong dịch vụ, hoặc không cần thực hiện bất kỳ hành động nào nếu bên thứ ba đang xử lý những thay đổi cần thiết.
2. Kiểm thử sự hỏng hại
Bạn có thể khởi chạy Chrome bằng cách sử dụng cờ lệnh dòng lệnh --test-third-party-cookie-phaseout hoặc từ Chrome 118, kích hoạt chrome://flags/#test-third-party-cookie-phaseout. Điều này sẽ đặt Chrome để chặn cookie bên thứ ba và đảm bảo rằng các tính năng và biện pháp giảm thiểu mới hoạt động để mô phỏng tốt nhất trạng thái sau khi loại bỏ cookie.
Bạn cũng có thể thử duyệt web với cookie bên thứ ba bị chặn thông qua chrome://settings/cookies, nhưng hãy lưu ý rằng cờ đảm bảo rằng các tính năng mới và đã cập nhật cũng đã được kích hoạt. Chặn cookie bên thứ ba là một phương pháp tốt để phát hiện vấn đề, nhưng không nhất thiết là để xác nhận rằng bạn đã sửa chúng.
Nếu bạn duy trì một bộ kiểm thử hoạt động cho trang web của mình, thì bạn nên thực hiện hai lần chạy song song: một lần với Chrome ở cài đặt thông thường và một lần với cùng phiên bản Chrome được khởi chạy --test-third-party-cookie-phaseout. Mọi lỗi kiểm thử trong lần chạy thứ hai mà không có trong lần chạy đầu tiên là ứng viên tốt để điều tra về phụ thuộc vào cookie bên thứ ba. Đảm bảo bạn báo cáo các vấn đề bạn phát hiện.
Khi bạn đã xác định được các cookie gây sự cố và hiểu về các trường hợp sử dụng của chúng, bạn có thể thực hiện các tùy chọn sau để chọn lựa giải pháp cần thiết.
3. Sử dụng cookie Partitioned với CHIPS
Khi cookie bên thứ ba của bạn được sử dụng trong ngữ cảnh nhúng 1:1 với trang web cấp cao, bạn có thể xem xét việc sử dụng thuộc tính Partitioned là một phần của Cookies Having Independent Partitioned State (CHIPS) để cho phép truy cập qua các trang web với một cookie riêng biệt được sử dụng cho mỗi trang web.
Để triển khai CHIPS, bạn thêm thuộc tính Partitioned vào tiêu đề Set-Cookie của mình:
Bằng cách đặt Partitioned, trang web chọn lựa lưu trữ cookie trong một phân vùng cookie riêng biệt theo trang web cấp cao. Trong ví dụ trên, cookie đến từ store-finder.site , nơi chứa bản đồ của cửa hàng cho phép người dùng lưu cửa hàng yêu thích của họ. Bằng cách sử dụng CHIPS, khi brand-a.site nhúng store-finder.site, giá trị của cookie fav_store là 123. Sau đó, khi brand-b.site cũng nhúng store-finder.site họ sẽ đặt và gửi phiên bản được phân vùng riêng của cookie fav_store của họ, ví dụ với giá trị 456.
Điều này có nghĩa là các dịch vụ nhúng vẫn có thể lưu trạng thái, nhưng không có lưu trữ chung chéo trang web nào sẽ cho phép theo dõi chéo trang web.
Các trường hợp sử dụng có thể: nhúng trò chuyện bên thứ ba, nhúng bản đồ bên thứ ba, nhúng thanh toán bên thứ ba, cân bằng tải CDN cho các nguồn tải cân bằng, các nhà cung cấp CMS không đầu, miền sandbox để phục vụ nội dung người dùng không đáng tin cậy, CDN bên thứ ba sử dụng cookie cho kiểm soát truy cập, cuộc gọi API bên thứ ba yêu cầu cookie trên yêu cầu, quảng cáo nhúng với trạng thái phạm vi theo xuất bản.
4. Use Related Website Sets
Khi cookie bên thứ ba của bạn chỉ được sử dụng qua một số ít trang web có liên quan, bạn có thể xem xét việc sử dụng Bộ Trang Web Liên Quan (RWS) để cho phép truy cập qua các trang web cho cookie đó trong ngữ cảnh của những trang web được xác định đó.
Để triển khai RWS, bạn sẽ cần định nghĩa và gửi nhóm trang web cho bộ trang web đó. Để đảm bảo rằng các trang web có mối quan hệ ý nghĩa, chính sách cho một bộ hợp lệ yêu cầu nhóm các trang web đó theo: các trang web liên quan có mối quan hệ rõ ràng với nhau (ví dụ: các biến thể của sản phẩm của một công ty), các miền dịch vụ (ví dụ: APIs, CDNs) hoặc các miền mã quốc gia (ví dụ: *.uk, *.jp).
Các trang web có thể sử dụng API Quản lý Lưu trữ để yêu cầu truy cập cookie qua các trang web sử dụng requestStorageAccess() hoặc giao quyền truy cập sử dụng requestStorageAccessFor(). Khi các trang web nằm trong cùng một bộ, trình duyệt sẽ tự động cấp quyền truy cập và cookie chéo trang web sẽ sẵn có.
Điều này có nghĩa là các nhóm trang web có liên quan vẫn có thể sử dụng cookie chéo trang web trong một ngữ cảnh hạn chế, nhưng không rủi ro chia sẻ cookie bên thứ ba qua các trang web không liên quan một cách có thể theo dõi chéo trang web.
Các trường hợp sử dụng có thể: các miền cụ thể của ứng dụng, các miền cụ thể của thương hiệu, các miền cụ thể của quốc gia, miền sandbox để phục vụ nội dung người dùng không đáng tin cậy, miền dịch vụ cho APIs, CDNs.
5. Migrate to the relevant web APIs
CHIPS và RWS cho phép truy cập cookie chéo trang web cho các loại cụ thể trong khi vẫn giữ quyền riêng tư người dùng, tuy nhiên các trường hợp sử dụng cookie bên thứ ba khác phải chuyển đổi sang các tùy chọn thay thế tập trung vào quyền riêng tư.
Privacy Sandbox cung cấp một loạt các API được xây dựng đặc biệt cho các trường hợp sử dụng cụ thể mà không cần sử dụng cookie bên thứ ba:
- Federated Credential Management (FedCM): cho phép dịch vụ xác thực hợp nhất giúp người dùng đăng nhập vào các trang web và dịch vụ.
- Private State Tokens: cho phép chống gian lận và chống thư rác bằng cách trao đổi thông tin giới hạn và không định danh trên các trang web.
- Topics: cho phép quảng cáo dựa trên quan tâm và cá nhân hóa nội dung.
- Protected Audience: cho phép tiếp thị lại và khán giả tùy chỉnh.
- Attribution Reporting: cho phép đo lường ấn tượng quảng cáo và chuyển đổi.
Ngoài ra, Chrome hỗ trợ Storage Access API (SAA) để sử dụng trong các iframes với tương tác người dùng. SAA đã được hỗ trợ trên Edge, Firefox và Safari. Chúng tôi tin rằng nó đạt được sự cân bằng tốt để duy trì quyền riêng tư người dùng trong khi vẫn cho phép chức năng quan trọng chéo trang web với lợi ích của tính tương thích trên nhiều trình duyệt.
Lưu ý rằng API Truy cập Lưu trữ sẽ hiển thị một cửa sổ thoại xin phép trình duyệt cho người dùng. Để cung cấp một trải nghiệm người dùng tối ưu, chúng tôi chỉ sẽ hiển thị cửa sổ thoại cho người dùng nếu trang gọi requestStorageAccess() đã tương tác với trang nhúng và trước đó đã truy cập trang web bên thứ ba trong ngữ cảnh cấp cao. Việc cấp quyền thành công sẽ cho phép truy cập cookie chéo trang web cho trang đó trong 30 ngày. Các trường hợp sử dụng tiềm năng bao gồm nhúng đã xác thực chéo trang như widget nhận xét mạng xã hội, nhà cung cấp thanh toán, dịch vụ video đã đăng ký.
Nếu vẫn còn các trường hợp sử dụng cookie bên thứ ba không được bao gồm trong những tùy chọn này, bạn nên báo cáo vấn đề cho chúng tôi và xem xét xem có các triển khai thay thế nào không phụ thuộc vào chức năng có thể kích hoạt theo dõi chéo trang web.
Hỗ trợ Doanh nghiệp
Chrome doanh nghiệp luôn có yêu cầu đặc biệt so với việc sử dụng web chung và chúng tôi sẽ đảm bảo rằng các quản trị viên doanh nghiệp có các điều khiển phù hợp đối với việc loại bỏ cookie bên thứ ba trong trình duyệt của họ.
Tương tự như đa số các thử nghiệm trên Chrome, đa số người dùng cuối doanh nghiệp sẽ được tự động loại trừ khỏi quá trình loại bỏ 1% cookie bên thứ ba. Đối với những người có thể bị ảnh hưởng, quản trị viên doanh nghiệp có thể đặt chính sách BlockThirdPartyCookies thành giá trị false để tắt chức năng này trên trình duyệt doanh nghiệp của họ trước thí nghiệm và tạo thời gian để thực hiện các thay đổi cần thiết để không phụ thuộc vào chính sách hoặc cookie bên thứ ba. Bạn có thể đọc thêm trong các ghi chú phát hành Chrome Enterprise.
Chúng tôi cũng dự định cung cấp thêm báo cáo và công cụ để giúp xác định việc sử dụng cookie bên thứ ba trên các trang web doanh nghiệp. Chúng tôi có tầm nhìn ít hơn về các trình duyệt doanh nghiệp trong các số liệu sử dụng của Chrome, điều này có nghĩa là việc kiểm thử sự hỏng hại và báo cáo vấn đề cho chúng tôi là đặc biệt quan trọng đối với doanh nghiệp.
Các tích hợp SaaS doanh nghiệp sẽ có thể sử dụng thử nghiệm loại bỏ cookie bên thứ ba được mô tả dưới đây.
Yêu cầu thêm thời gian với thử nghiệm loại bỏ cookie bên thứ ba cho các trường hợp sử dụng không phải là quảng cáo
Như nhiều lần loại bỏ trước trên web, chúng tôi hiểu rằng có các trường hợp nơi các trang web cần thêm thời gian để thực hiện các thay đổi cần thiết. Khi đến với các thay đổi liên quan đến quyền riêng tư như thế này, chúng tôi cũng phải cân nhắc giữa đó và lợi ích tốt nhất cho người sử dụng web.
Chúng tôi dự định cung cấp một thử nghiệm loại bỏ để cung cấp một cách cho các trang web hoặc dịch vụ sử dụng trong ngữ cảnh chéo trang đăng ký để tiếp tục truy cập cookie bên thứ ba trong một khoảng thời gian giới hạn.
Thuật ngữ chính
Thử nghiệm loại bỏ là một loại thử nghiệm nguồn mà cho phép một tính năng được kích hoạt lại tạm thời.
Chúng tôi sẽ chia sẻ thêm chi tiết khi kế hoạch tiến triển, nhưng chúng tôi bắt đầu với một số nguyên tắc chính:
- Nó sẽ là một thử nghiệm loại bỏ cookie bên thứ ba cho phép nhúng bên thứ ba đăng ký để tạm thời tiếp tục sử dụng cookie bên thứ ba.
- Việc đăng ký sẽ yêu cầu một quá trình xem xét để đảm bảo thử nghiệm loại bỏ chỉ được sử dụng cho các chức năng ảnh hưởng đến các hành trình quan trọng của người dùng và đăng ký sẽ được xem xét theo từng trường hợp.
- Nó sẽ không gây xao lạc với việc thử nghiệm quảng cáo được kế hoạch bắt đầu vào đầu năm 2024, như được mô tả bởi CMA. Do đó, điều này có nghĩa là các trường hợp sử dụng quảng cáo sẽ không được xem xét trong thử nghiệm loại bỏ.
Bước tiếp theo: Chúng tôi sẽ đăng một ý định lên danh sách thư blink-dev với các chi tiết thêm vào tháng này và tiếp tục cập nhật tài liệu tại đây.
Bảo tồn trải nghiệm người dùng quan trọng
Cookie chéo trang web đã là một phần quan trọng của web trong hơn một tỷ kỷ. Điều này làm cho bất kỳ thay đổi nào, đặc biệt là một thay đổi đột ngột, trở thành quá trình phức tạp yêu cầu một cách tiếp cận có tổ chức và dần dần. Mặc dù các thuộc tính cookie bổ sung và API mới tập trung vào quyền riêng tư chiếm đa số các trường hợp sử dụng, nhưng có các tình huống cụ thể mà chúng tôi muốn đảm bảo rằng chúng tôi không làm hỏng trải nghiệm cho những người sử dụng truy cập các trang web đó.
Chủ yếu là những luồng xác thực hoặc thanh toán nơi một trang web cấp cao mở một cửa sổ pop-up hoặc chuyển hướng đến một trang web bên thứ ba để thực hiện một thao tác và sau đó quay lại trang web cấp cao, sử dụng một cookie hoặc trong ngữ cảnh nhúng. Chúng tôi dự định cung cấp một bộ tiêu chí tạm thời để xác định những tình huống này và cho phép sử dụng cookie bên thứ ba trong một khoảng thời gian giới hạn, mang lại thời gian lâu hơn cho các trang web triển khai các thay đổi cần thiết.
Bước tiếp theo: Chúng tôi sẽ đăng một ý định lên danh sách thư blink-dev với các chi tiết thêm vào tháng này và tiếp tục cập nhật tài liệu tại đây.
Báo cáo vấn đề với cookie bên thứ ba và nhận sự giúp đỡ
Chúng tôi muốn đảm bảo rằng chúng tôi đang ghi lại các tình huống khác nhau nơi trang web bị hỏng mà không có cookie bên thứ ba để đảm bảo rằng chúng tôi đã cung cấp hướng dẫn, công cụ và chức năng để cho phép trang web chuyển đổi từ phụ thuộc vào cookie bên thứ ba của họ. Nếu trang web của bạn hoặc dịch vụ bạn phụ thuộc đang gặp vấn đề khi bị tắt cookie bên thứ ba, bạn có thể gửi nó đến trình theo dõi sự hỏng hại của chúng tôi tại goo.gle/report-3pc-broken.
Nếu bạn có câu hỏi về quá trình loại bỏ và kế hoạch của Chrome, bạn có thể đưa ra một vấn đề mới bằng cách sử dụng thẻ “third-party cookie deprecation” trong kho lưu trữ hỗ trợ của chúng tôi.
Nguồn: https://developer.chrome.com/blog/cookie-countdown-2023oct/
Các bài viết về First-party data:
