Criteri per cookie SameSite di Google Chrome

Google inizierà a imporre nuove politiche di cookie per impostazione predefinita per gli utenti che iniziano con Chrome 80, che è previsto per essere rilasciato all'inizio del 2020. Questo articolo spiega tutto ciò che è necessario sapere sulle nuove policy sui cookie SameSite, come Adobe Target supporta queste policy e come è possibile utilizzare Target per conformarsi alle nuove policy sui cookie SameSite di Google Chrome.

A partire da Chrome 80, gli sviluppatori web devono specificare esplicitamente quali cookie possono funzionare tra i siti web. Questo è il primo di molti annunci che Google intende fare per migliorare la privacy e la sicurezza sul web.

Dal momento che Facebook è stato sul posto per quanto riguarda la privacy e la sicurezza, altri attori principali come Apple, e ora Google, sono stati rapidi a sfruttare l'opportunità di creare nuove identità come campioni di privacy e sicurezza. Apple ha guidato il pacchetto annunciando le modifiche alle sue politiche sui cookie all'inizio di quest'anno attraverso ITP 2.1 e recentemente, ITP 2.2. In ITP 2.1, Apple blocca completamente i cookie di terze parti e mantiene i cookie creati sul browser per soli sette giorni. In ITP 2.2, i cookie vengono conservati per un solo giorno. L'annuncio di Google non è neanche lontanamente aggressivo come quello di Apple, ma è il primo passo verso lo stesso obiettivo finale. Per ulteriori informazioni sui criteri Apple, vedere Apple Intelligent Tracking Prevention (ITP) 2.x.

Prima di conoscere le modifiche apportate alle politiche sui cookie di Google, è necessario conoscere i cookie e le relative modalità di utilizzo. In poche parole, i cookie sono piccoli file di testo memorizzati nel browser Web che vengono utilizzati per ricordare gli attributi utente.

I cookie sono importanti perché migliorano l'esperienza dell'utente che naviga sul Web. Ad esempio, se effettui acquisti su un sito Web di eCommerce e aggiungi qualcosa al carrello ma non accedi o acquista in quella visita, i cookie memorizzano i tuoi articoli e li conservano nel carrello per la prossima visita. Oppure, immaginate di dover reinserire il vostro nome utente e la password ogni volta che visitate il vostro sito Web social media preferito. Anche i cookie risolvono questo problema, perché memorizzano informazioni che aiutano i siti a identificare chi siete. Questi tipi di cookie sono chiamati cookie di prime parti perché vengono creati e utilizzati dal sito Web visitato.

Esistono anche cookie di terze parti. Per comprenderli meglio, consideriamo questo esempio:

Supponiamo che un'ipotetica società di social media denominata "Amici" fornisca un pulsante Condividi implementato da altri siti per consentire agli utenti di condividere il contenuto del sito sul feed Amici. Ora, un utente legge un articolo di notizie su un sito Web di notizie che utilizza il pulsante Condividi e fa clic su di esso per pubblicare automaticamente il proprio account Amici.

A tal fine, il browser recupera il pulsante Condivisione amici da platform.friends.com quando l'articolo della notizia è caricato. In questo processo, il browser allega i cookie Friends, che contengono le credenziali di accesso dell'utente, alla richiesta ai server Friends. Questo consente agli amici di pubblicare l’articolo nel proprio feed per conto dell’utente senza che l’utente debba effettuare l’accesso.

Tutto ciò è possibile utilizzando cookie di terze parti. In questo caso, il cookie di terza parte viene salvato nel browser per platform.friends.com, in modo che platform.friends.com possa pubblicare il post nell'app Friends per conto dell'utente.

Se si immagina per un momento come ottenere questo caso d'uso senza cookie di terze parti, l'utente dovrebbe seguire molti passaggi manuali. In primo luogo, l’utente deve copiare il collegamento all’articolo della notizia. In secondo luogo, l'utente dovrebbe accedere all'app Amici separatamente. Quindi, l'utente faceva clic sul pulsante Crea post. Quindi l'utente copiava e incollava il collegamento nel campo di testo, quindi faceva clic su Post. Come si può vedere, i cookie di terze parti aiutano enormemente l'utente a sperimentare come i passaggi manuali possono essere drasticamente ridotti.

Più in generale, i cookie di terze parti consentono di memorizzare i dati nel browser dell'utente senza che tale utente debba esplicitamente visitare un sito Web.

Problemi di sicurezza

Anche se i cookie migliorano le esperienze utente e la pubblicità di potenza, possono anche introdurre vulnerabilità di sicurezza come attacchi CSRF (Cross-Site Request Forgery). Ad esempio, se un utente accede a un sito bancario per pagare le fatture della carta di credito e lascia il sito senza disconnettersi e poi naviga in un sito dannoso nella stessa sessione, si può verificare un attacco CSRF. Il sito dannoso potrebbe includere codice che invia una richiesta al sito bancario che viene eseguito al caricamento della pagina. Poiché l'utente è ancora autenticato nel sito bancario, il cookie di sessione può essere utilizzato per avviare un attacco CSRF per avviare un evento di trasferimento di fondi dal conto bancario dell'utente. Questo perché ogni volta che visitate un sito, tutti i cookie vengono allegati nella richiesta HTTP. E a causa di questi problemi di sicurezza, Google sta cercando di mitigarli.

In che modo Target utilizza i cookie?

Detto questo, vediamo come Target utilizza i cookie. Per poter utilizzare Target in primo luogo, è necessario installare la Target libreria JavaScript sul sito. Questo consente di inserire un cookie di prima parte nel browser dell'utente che visita il sito. Quando l'utente interagisce con il sito Web, è possibile trasmettere i dati comportamentali e di interesse dell'utente a Target tramite la libreria JavaScript. La libreria JavaScript Target utilizza cookie di prime parti per estrarre informazioni identificative sull'utente da mappare ai dati di comportamento e interesse dell'utente. Questi dati vengono quindi utilizzati da Target per potenziare le attività di personalizzazione.

Target utilizza anche (a volte) cookie di terze parti. Se possedete più siti Web che vivono su domini diversi e desiderate monitorare il percorso degli utenti su tali siti Web, potete utilizzare cookie di terze parti sfruttando il monitoraggio tra domini diversi. Attivando il tracciamento tra domini nella Target libreria JavaScript, l'account inizierà a utilizzare cookie di terze parti. Quando un utente passa da un dominio all'altro, il browser comunica con il server di back-end di Target e, in questo processo, viene creato un cookie di terze parti che viene inserito nel browser dell'utente. Grazie al cookie di terze parti presente nel browser dell'utente, Target è in grado di fornire un'esperienza coerente tra domini diversi per un singolo utente.

Per fornire protezione in caso di invio di cookie tra siti in modo da proteggere gli utenti, Google pianifica di aggiungere il supporto per uno standard IETF denominato SameSite, che richiede agli sviluppatori Web di gestire i cookie con il componente attributo SameSite nell’intestazione Set-Cookie.

Tre valori diversi possono essere passati nell’attributo SameSite: Strict, Lax o None (Rigoroso, Tollerante, Nessuno).

Valore Descrizione
Strict (Rigoroso) I cookie con questa impostazione sono accessibili solo quando si visita il dominio in cui sono stati inizialmente impostati. In altre parole, Strict impedisce completamente che il cookie possa essere utilizzato tra siti diversi. Questa opzione è ideale per le applicazioni che richiedono elevata sicurezza, come le banche.
Lax (Tollerante) I cookie con questa impostazione vengono inviati solo sulle richieste dello stesso sito o sulla navigazione di livello principale con richieste HTTP non ideali, come HTTP GET. Pertanto, questa opzione viene utilizzata se il cookie può essere utilizzato da terzi, ma con un vantaggio in termini di sicurezza che protegge gli utenti da attacchi CSRF.
None (Nessuno) I cookie con questa impostazione funzioneranno come i cookie di oggi.

Tenendo presente quanto sopra, Chrome 80 introduce due impostazioni indipendenti per gli utenti: "Per impostazione predefinita, SameSite cookie" e "Cookies senza SameSite devono essere protetti." Queste impostazioni verranno abilitate per impostazione predefinita in Chrome 80.

StessoSito, finestra di dialogo

  • SameSite per cookie predefiniti: Se impostato, tutti i cookie che non specificano l'attributo SameSite saranno automaticamente costretti a utilizzare SameSite = Lax.
  • I cookie senza SameSite devono essere protetti: Se impostati, i cookie senza l'attributo SameSite o con SameSite = None necessità di protezione. In questo contesto, protetto significa che tutte le richieste del browser devono seguire il protocollo HTTPS. I cookie che non aderiscono a questo requisito vengono rifiutati. Tutti i siti Web devono utilizzare HTTPS per soddisfare questo requisito.

Target segue le best practice di sicurezza di Google

Ad Adobe, desideriamo sempre supportare le ultime best practice del settore per la sicurezza e la privacy. Siamo lieti di annunciare che Target supporta le nuove impostazioni di sicurezza e privacy introdotte da Google.

Per l'impostazione "SameSite by default cookies", Target continuerà a fornire la personalizzazione senza alcun impatto e intervento da parte dell'utente. Target utilizza i cookie di prima parte che continueranno a funzionare correttamente in quanto il flag SameSite = Lax viene applicato da Google Chrome.

Per l'opzione "Cookie senza SameSite devono essere protetti", se non si opta per la funzione di monitoraggio tra domini in Target, i cookie di prime parti in Target continueranno a funzionare.

Tuttavia, quando decidete di utilizzare il tracciamento tra domini per sfruttare Target tra più domini, Chrome richiede SameSite = None e i flag Secure per essere utilizzati per i cookie di terze parti. Ciò significa che è necessario assicurarsi che i siti utilizzino il protocollo HTTPS. Le librerie lato client in Target utilizzeranno automaticamente il protocollo HTTPS e allegheranno i SameSite = None e i flag Secure ai cookie di terze parti in Target per garantire che tutte le attività continuino a essere distribuite.

Cosa devi fare?

Per capire cosa devi fare per avere Target continuare a lavorare per gli utenti Google Chrome 80+, consulta la tabella seguente, di cui vedrai le colonne seguenti:

  • Libreria JavaScript di destinazione: Se utilizzate mbox.js, at.js 1.x o at.js 2.Dai un'occhiata ai tuoi siti.
  • SameSite per cookie predefiniti = Enabled: Se i vostri utenti dispongono di "SameSite by default cookies" abilitati, in che modo vi interessa ed è presente tutto ciò che dovete fare per Target continuare a funzionare.
  • I cookie senza SameSite devono essere protetti = Abilitati: Se gli utenti dispongono di "Cookies senza SameSite deve essere protetto" abilitato, in che modo ciò influirà su di voi ed è presente tutto ciò che è necessario fare per Target continuare a funzionare.
Libreria JavaScript di destinazione “SameSite by default cookies” = Abilitato “Cookies without SameSite must be secure” = Abilitato
mbox.js con solo cookie di prime parti. Nessun impatto. Nessun impatto se non utilizzi il tracciamento tra domini diversi.
mbox.js con il tracciamento tra domini abilitato. Nessun impatto. È necessario abilitare il protocollo HTTPS per il sito.
Target utilizza un cookie di terze parti per tenere traccia degli utenti e Google richiede cookie di terze parti per avere SameSite = None e il flag Secure. Il flag Secure richiede che i siti utilizzino il protocollo HTTPS.
Mappatura payload dei parametri at.js 1.xwith first-party cookie. Nessun impatto. Nessun impatto se non utilizzi il tracciamento tra domini diversi.
Mappatura payload dei parametri at.js 1.con monitoraggio interdominio abilitato. Nessun impatto. È necessario abilitare il protocollo HTTPS per il sito.
Target utilizza un cookie di terze parti per tenere traccia degli utenti e Google richiede cookie di terze parti per avere SameSite = None e il flag Secure. Il flag Secure richiede che i siti utilizzino il protocollo HTTPS.
Payload JSON di at.js 2.x Nessun impatto. Nessun impatto.

Cosa deve fare Target?

Quindi, cosa abbiamo dovuto fare nella nostra piattaforma per aiutarti a rispettare le nuove politiche Google Chrome 80+ SameSite cookie?

Libreria JavaScript di destinazione “SameSite by default cookies” = Abilitato “Cookies without SameSite must be secure” = Abilitato
mbox.js con solo cookie di prime parti. Nessun impatto. Nessun impatto se non utilizzi il tracciamento tra domini diversi.
mbox.js con il tracciamento tra domini abilitato. Nessun impatto. Target aggiunge SameSite = None e protegge il flag al cookie di terza parte quando vengono chiamati Target i server.
Mappatura payload dei parametri at.js 1.xwith first-party cookie. Nessun impatto. Nessun impatto se non utilizzi il tracciamento tra domini diversi.
Mappatura payload dei parametri at.js 1.con monitoraggio interdominio abilitato. Nessun impatto. Mappatura payload dei parametri at.js 1.con monitoraggio interdominio abilitato.
Payload JSON di at.js 2.x Nessun impatto. Nessun impatto.

Qual è l'impatto se non passate all'uso del protocollo HTTPS?

L'unico caso d'uso che può avere un impatto è l'utilizzo della funzione di tracciamento tra domini in Target tramite mbox.js o at.js 1.x. Senza passare a HTTPS, che è un requisito di Google, vedrete un picco di visitatori unici nei vostri domini, perché il cookie di terza parte che usiamo sarà rilasciato da Google. Inoltre, poiché il cookie di terza parte verrà eliminato, Target non sarà in grado di fornire un'esperienza coerente e personalizzata a quell'utente mentre l'utente passa da un dominio all'altro. Il cookie di terza parte viene utilizzato principalmente per identificare un singolo utente che naviga tra i domini di cui disponete.

Conclusione

Dal momento che il settore fa passi avanti per creare un web più sicuro per i consumatori, Adobe è assolutamente impegnato ad aiutare i nostri clienti a fornire esperienze personalizzate in modo da garantire la sicurezza e la privacy degli utenti finali. Tutto quello che devi fare è seguire le procedure ottimali sopramenzionate e sfruttare Target per conformarsi alle nuove Regole Cookie SameSite di Google Chrome.

In questa pagina