Google Chrome SameSite 쿠키 정책

Google은 2020년 초에 출시되는 Chrome 80을 시작으로 사용자를 위한 새로운 쿠키 정책을 도입할 예정입니다. 이 문서에서는 새로운 SameSite 쿠키 정책에 대해 알아 두어야 할 모든 사항과 방법 Adobe Target 는 이러한 정책 및 을 사용할 수 있는 방법을 지원합니다 Target Google Chrome의 새로운 SameSite 쿠키 정책을 준수하기 위해

Chrome 80을 시작으로 웹 개발자는 웹 사이트 전체에 걸쳐 작동할 수 있는 쿠키를 명시적으로 지정해야 합니다. 이는 Google이 웹에서의 개인정보 보호 및 보안을 개선하기 위해 작성하는 많은 공지 사항 중 첫 번째 것입니다.

Facebook이 개인정보 보호 및 보안과 관련하여 뜨거운 관심을 받고 있는 상황에서, Apple, Google과 같은 다른 주요 플레이어는 개인정보 보호 및 보안 분야의 으뜸으로서 새로운 정체성을 구축할 수 있는 기회를 재빨리 포착했습니다. Apple은 올해 초 ITP 2.1, 그리고 최근 ITP 2.2를 통해 쿠키 정책에 대한 변경을 처음 발표하면서 이 경쟁의 선두를 차지했습니다. ITP 2.1에서 Apple은 서드파티 쿠키를 완전히 차단하며 브라우저에서 생성한 쿠키를 7일 동안만 유지합니다. In ITP 2.2에서는 쿠키가 하루 동안만 유지됩니다. Google의 발표가 Apple만큼 공격적이지는 않지만, 같은 최종 목표를 향한 첫걸음이다. Apple의 정책에 대한 자세한 내용은 Apple ITP(Intelligent Tracking Prevention) 2.x을 참조하십시오.

쿠키란 무엇이며 쿠키를 사용하는 방법은 무엇입니까?

Google의 쿠키 정책에 대한 변경 사항을 살펴보기 전에 쿠키의 의미와 사용 방법에 대해 알아보겠습니다. 간단히 말해 쿠키는 사용자 속성을 기억하기 위해 웹 브라우저에 저장된 작은 텍스트 파일입니다.

쿠키는 사용자가 웹을 탐색할 때 사용자 경험을 향상시키므로 중요합니다. 예를 들어 전자 상거래 웹 사이트에서 쇼핑 중이며 장바구니에 제품을 추가하지만 해당 방문에서 로그인하거나 구매하지 않는 경우, 쿠키는 사용자의 항목을 기억하고 다음 방문을 위해 장바구니에 보관합니다. 또는 즐겨 찾는 소셜 미디어 웹 사이트를 방문할 때마다 사용자 이름과 암호를 다시 입력해야 한다고 가정해 보겠습니다. 쿠키는 이러한 문제도 해결할 수 있는데, 사이트에서 사용자를 식별하는 데 도움이 되는 정보를 저장하기 때문입니다. 이러한 종류의 쿠키는 사용자가 방문하는 웹 사이트에서 생성하여 사용하기 때문에 자사 쿠키라고 합니다.

서드파티 쿠키도 존재합니다. 이를 더 잘 이해하기 위해 다음 예를 살펴보겠습니다.

"프렌즈"라는 가상의 소셜 미디어 회사가 "프렌즈" 사용자가 "프렌즈" 피드에 사이트의 콘텐츠를 공유할 수 있도록 다른 사이트에서 구현한 "공유" 버튼을 제공한다고 가정해 보겠습니다. 이제 사용자는 공유 버튼을 사용하는 뉴스 웹 사이트에서 뉴스 기사를 읽고 이를 클릭하여 "프렌즈" 계정에 자동으로 게시합니다.

이를 위해 브라우저는 뉴스 기사가 로드될 때 platform.friends.com에서 “프렌즈”의 “공유” 버튼을 가져옵니다. 이 프로세스에서, 브라우저는 로그인 자격 증명이 포함된 “프렌즈” 쿠키를 “프렌즈” 서버로의 요청에 연결합니다. 이렇게 하면 사용자가 로그인할 필요 없이 "프렌즈"가 사용자를 대신하여 뉴스 기사를 피드에 게시할 수 있습니다.

이 모든 과정은 서드파티 쿠키를 사용함으로써 가능한 것입니다. 이 경우 타사 쿠키는 의 브라우저에 저장됩니다. platform.friends.com, 따라서 platform.friends.com 은(는) 사용자를 대신하여 "프렌즈" 앱에서 게시물을 만들 수 있습니다.

서드파티 쿠키 없이 이 절차를 수행하려면 사용자는 복잡한 수동 단계를 따라야 할 것입니다. 첫 번째, 뉴스 기사에 대한 링크를 복사해야 합니다. 두 번째, “프렌즈” 앱에 별도로 로그인해야 합니다. 그런 다음 “게시물 작성” 버튼을 클릭해야 합니다. 그리고 링크를 복사하여 텍스트 필드에 붙여넣은 다음 “게시”를 클릭해야 합니다. 이처럼 서드파티 쿠키는 수동 단계를 크게 간소화하여 사용자 경험에 엄청난 도움이 됩니다.

보다 일반적으로 서드파티 쿠키는 사용자가 웹 사이트를 명시적으로 방문하지 않고도 사용자의 브라우저에 데이터가 저장될 수 있도록 합니다.

보안 관련 문제

쿠키는 사용자 경험과 광고를 향상시키기도 하지만, CSRF(크로스 사이트 요청 위조) 공격과 같은 보안 취약성을 발생시킬 수도 있습니다. 예를 들어 사용자가 뱅킹 사이트에 로그인하여 신용카드 대금을 결제한 후, 로그아웃을 하지 않고 사이트를 나간 다음 동일한 세션 내에 악성 사이트로 이동하면 CSRF 공격이 발생할 수 있습니다. 악성 사이트에는 페이지가 로드될 때 실행되어 뱅킹 사이트로 요청을 하는 코드가 포함될 수 있습니다. 사용자가 여전히 뱅킹 사이트에 인증되어 있으므로, 세션 쿠키는 CSRF 공격을 실행하여 사용자의 은행 계좌에서 자금 이체 이벤트를 시작하는 데 사용할 수 있습니다. 이는 사용자가 사이트를 방문할 때마다 모든 쿠키가 HTTP 요청에 연결되기 때문입니다. 또한 이러한 보안 관련 문제로 인해 Google은 이를 완화하고자 노력하고 있습니다.

Target은 쿠키를 어떻게 사용합니까?

이 모든 것을 가지고, 어떻게 하는지 알아봅시다 Target 은 쿠키를 사용합니다. 우선 Target을 사용하려면 귀하의 사이트에 Target JavaScript 라이브러리를 설치해야 합니다. 이렇게 하면 귀하의 사이트에 방문하는 사용자의 브라우저에 자사 쿠키를 배치할 수 있습니다. 사용자가 웹 사이트와 상호 작용할 때 사용자의 행동 및 관심 데이터를에 전달할 수 있습니다 Target 를 통해 생성할 수 있습니다. 다음 Target JavaScript 라이브러리는 자사 쿠키를 사용하여 사용자의 행동 및 관심 데이터에 매핑할 사용자 식별 정보를 추출합니다. 그런 다음 Target은 이 데이터를 사용하여 귀하의 개인 맞춤화 활동을 향상시킵니다.

Target은 (때때로) 서드파티 쿠키를 사용하기도 합니다. 서로 다른 도메인에 있는 여러 웹 사이트를 보유하고 있으며 이들 웹 사이트 간의 사용자 여정을 추적하고자 하는 경우, 도메인 간 추적을 활용하여 서드파티 쿠키를 사용할 수 있습니다. Target JavaScript 라이브러리에서 도메인 간 추적을 활성화함으로써 귀하의 계정은 서드파티 쿠키를 사용하게 됩니다. 사용자가 한 도메인에서 다른 도메인으로 이동할 때 브라우저는 Target의 백엔드 서버와 통신하며, 이 프로세스 내에서 서드파티 쿠키가 생성되고 사용자의 브라우저에 배치됩니다. 사용자의 브라우저에 있는 서드파티 쿠키를 통해 Target 은 단일 사용자에게 서로 다른 도메인 간에 일관된 경험을 제공할 수 있습니다.

Google의 새로운 쿠키 레시피

사이트 간 쿠키가 전송될 때 사용자를 보호하기 위한 안전 장치를 제공하기 위해, Google은 SameSite라고 하는 IETF 표준에 대한 지원을 추가할 계획입니다. 이를 위해 웹 개발자는 쿠키 설정 헤더에서 SameSite 속성 구성 요소를 통해 쿠키를 관리해야 합니다.

SameSite 속성으로 전달할 수 있는 Strict, Lax 또는 None값이 있습니다.

설명
Strict
이 설정을 사용하는 쿠키는 처음에 설정된 도메인을 방문할 때만 액세스할 수 있습니다. 즉, Strict는 쿠키를 사이트 간에 사용할 수 없게 차단합니다. 이 옵션은 은행과 같이 높은 보안 수준이 필요한 응용 분야에 적합합니다.
Lax
이 설정을 사용하는 쿠키는 동일한 사이트 요청 또는 HTTP GET과 같은 비특정 HTTP 요청을 통한 최상위 수준 탐색에 대해서만 전송됩니다. 따라서 이 옵션은 서드파티가 쿠키를 사용할 수 있지만 사용자가 CSRF 공격에 의해 피해를 받지 않도록 보호할 수 있는 추가 보안 이점을 동반하는 경우 사용됩니다.
없음
이 설정을 사용하는 쿠키는 오늘날 쿠키가 작동하는 것과 같은 방식으로 작동합니다.

Chrome 80은 사용자를 위한 2가지 독립 설정인 “SameSite를 기본 쿠키로 지정”과 “SameSite가 없는 쿠키를 보호해야 함”을 도입합니다. 이들 설정은 Chrome 80에서 기본적으로 활성화됩니다.

SameSite 대화 상자

  • SameSite를 기본 쿠키로 지정: 이 설정을 지정하면, SameSite 속성을 지정하지 않은 모든 쿠키가 자동으로 SameSite = Lax.
  • SameSite가 없는 쿠키를 보호해야 함: 이 옵션으로 설정하면 SameSite 속성이 없거나 SameSite = None이 있는 쿠키가 “보호” 상태여야 합니다. 이 컨텍스트에서 보호란 모든 브라우저 요청이 HTTPS 프로토콜을 따라야 한다는 것을 의미합니다. 이 요구 사항을 준수하지 않는 쿠키는 거부됩니다. 모든 웹 사이트는 이 요구 사항을 충족하기 위해 HTTPS를 사용해야 합니다.

TargetGoogle의 보안 모범 사례를 따르는

Adobe 시 당사는 항상 보안 및 개인정보 보호에 대한 업계의 최신 모범 사례를 지원하고자 합니다. Target이 Google에서 도입한 새로운 보안 및 개인정보 보호 설정을 지원함을 알려 드립니다.

“SameSite를 기본 쿠키로 지정” 설정의 경우 Target은 사용자의 영향 및 개입 없이 개인 맞춤화를 계속 제공할 예정입니다. Target은 자사 쿠키를 사용하며, Google Chrome에서 플래그 SameSite = Lax를 적용함에 따라 계속 사용할 수 있습니다.

"SameSite가 없는 쿠키를 보호해야 함" 옵션의 경우 Target의 도메인 간 추적 기능을 옵트인하지 않으면 의 자사 쿠키를 Target 은(는) 계속 작동합니다.

그러나 여러 도메인에 걸쳐 Target을 활용하기 위해 도메인 간 추적 사용을 옵트인하면 Chrome은 서드파티 쿠키에 SameSite = None 및 “보호” 플래그를 사용해야 합니다. 이는 귀하의 사이트가 HTTPS 프로토콜을 사용하는지 확인해야 함을 의미합니다. Target의 클라이언트측 라이브러리는 자동으로 HTTPS를 사용하게 되며 SameSite = None 및 “보호” 플래그를 Target의 서드파티 쿠키에 연결하여 모든 활동이 계속 전달되도록 합니다.

필요한 작업

Google Chrome 80+ 사용자가 Target을 계속 사용할 수 있도록 하기 위해 필요한 작업에 대해 이해하려면 아래 표를 참조하십시오.

  • Target JavaScript 라이브러리: at.js 1을 사용 중인 경우 표시됩니다.x 또는 at.js 2 x
  • SameSite를 기본 쿠키로 지정 = 활성화됨: 귀하의 사용자가 “SameSite를 기본 쿠키로 지정”을 활성화한 경우 이것이 귀하에게 미치는 영향 및 Target을 계속 사용하기 위해 필요한 작업
  • SameSite가 없는 쿠키를 보호해야 함 = 활성화됨: 귀하의 사용자가 “SameSite가 없는 쿠키를 보호해야 함”을 활성화한 경우 이것이 귀하에게 미치는 영향 및 Target을 계속 사용하기 위해 필요한 작업
Target JavaScript 라이브러리
SameSite를 기본 쿠키로 지정 = 활성화됨
SameSite가 없는 쿠키를 보호해야 함 = 활성화됨
at.js 1.x (자사 쿠키 사용)
별도로 미치는 영향이 없습니다.
도메인 간 추적을 사용하지 않는 경우 별도로 미치는 영향이 없습니다.
at.js 1.x (도메인 간 추적 활성화됨)
별도로 미치는 영향이 없습니다.
귀하의 사이트에 대해 HTTPS 프로토콜을 활성화해야 합니다.
Target은 서드파티 쿠키를 사용하여 사용자를 추적하므로 Google에는 서드파티 쿠키가 SameSite = None 및 보안 플래그. “보호” 플래그를 사용하려면 귀하의 사이트가 HTTPS 프로토콜을 사용해야 합니다.
at.js 2.x
별도로 미치는 영향이 없습니다.
별도로 미치는 영향이 없습니다.

Target이 수행해야 하는 작업

그렇다면 새로운 Google Chrome 80+ SameSite 쿠키 정책을 준수하기 위해 당사의 플랫폼에서는 어떤 작업을 수행했습니까?

Target JavaScript 라이브러리
SameSite를 기본 쿠키로 지정 = 활성화됨
SameSite가 없는 쿠키를 보호해야 함 = 활성화됨
at.js 1.x (자사 쿠키 사용)
별도로 미치는 영향이 없습니다.
도메인 간 추적을 사용하지 않는 경우 별도로 미치는 영향이 없습니다.
at.js 1.x (도메인 간 추적 활성화됨)
별도로 미치는 영향이 없습니다.
at.js 1.x (도메인 간 추적 활성화됨)
at.js 2.x
별도로 미치는 영향이 없습니다.
별도로 미치는 영향이 없습니다.

HTTPS 프로토콜을 사용하지 않을 경우 발생하는 영향은 무엇입니까?

영향을 미치는 유일한 사용 사례는 Target에서 at.js 1을 통해 도메인 간 추적 기능을 사용하는 경우입니다.x. Google의 요구 사항인 HTTPS를 사용하지 않을 경우 당사에서 사용하는 서드파티 쿠키가 Google에 의해 삭제되어 도메인 전체에서 고유 방문자 수가 급증하게 됩니다. 또한 서드파티 쿠키가 삭제되므로 Target은 사용자가 하나의 도메인에서 다른 도메인으로 이동할 때 해당 사용자에게 일관성 있고 개인 맞춤화된 경험을 제공할 수 없게 됩니다. 서드파티 쿠키는 주로 귀하가 보유한 도메인 사이를 이동하는 단일 사용자를 식별하는 데 사용됩니다.

결론

업계에서 소비자를 위해 보다 안전한 웹을 만들기 위해 노력함에 따라 Adobe은 고객이 최종 사용자의 보안 및 개인정보 보호를 보장하는 방식으로 개인화된 경험을 제공할 수 있도록 지원하기 위해 노력을 아끼지 않고 있습니다. 이제 필요한 사항은 앞서 언급된 모범 사례를 따르고 을 활용하는 것입니다 Target Google Chrome의 새로운 SameSite 쿠키 정책을 준수하기 위해

recommendation-more-help
6906415f-169c-422b-89d3-7118e147c4e3