Google Chrome samesite 쿠키 정책

Google은 기본적으로 2020년 초에 출시될 예정인 Chrome 80부터 사용자에게 새 쿠키 정책을 부과할 예정입니다. 이 문서에서는 새 SameSite 쿠키 정책에 대해 알고 있어야 하는 모든 정보, Adobe Target 이 이러한 정책을 지원하는 방법 및 Target 을 사용하여 Google Chrome의 새 SameSite 쿠키 정책을 준수하는 방법에 대해 설명합니다.

Chrome 80부터 웹 개발자는 웹 사이트에서 작동할 수 있는 쿠키를 명시적으로 지정해야 합니다. 이것은 구글이 웹상에서 프라이버시와 보안을 개선하기 위해 계획하고 있는 많은 발표 중 첫 번째이다.

facebook이 개인 정보 및 보안과 관련하여 인기가 있다는 사실을 고려할 때, 애플과 현재 구글과 같은 다른 주요 선수들은 사생활 보호와 보안 챔피언으로서 새로운 ID를 만드는 기회를 재빨리 활용할 수 있었다. Apple은 올해 초 ITP 2.1와 최근 ITP 2.2를 통해 쿠키 정책 변경 사항을 발표함으로써 이 팩을 주도했습니다. ITP 2.1에서는 Apple은 타사 쿠키를 완전히 차단하며 브라우저에서 만든 쿠키를 7일 동안 보관합니다. ITP 2.2에서는 쿠키가 하루만 유지됩니다. 구글의 이번 발표는 애플처럼 공격적이지 않지만, 같은 목적을 향한 첫 번째 단계이다. Apple 정책에 대한 자세한 내용은 Apple ITP(Intelligent Tracking Prevention) 2.x을 참조하십시오.

쿠키란 무엇이며 어떻게 사용됩니까?

쿠키 정책에 대한 Google의 변경 사항을 살펴보기 전에 쿠키가 무엇이고 어떻게 사용되는지 살펴보겠습니다. 간단히 말해, 쿠키는 사용자 특성을 기억하기 위해 사용되는 웹 브라우저에 저장된 작은 텍스트 파일입니다.

쿠키는 사용자가 웹을 탐색할 때 사용자의 경험을 향상시키므로 중요합니다. 예를 들어, eCommerce 웹 사이트에서 쇼핑을 하고 장바구니에 항목을 추가하지만, 해당 방문에서 로그인하거나 구매하지 않는 경우, 쿠키는 항목을 기억하고 다음 방문을 위해 장바구니에 보관합니다. 아니면, 여러분이 좋아하는 소셜 미디어 웹사이트를 방문할 때마다 사용자 이름과 암호를 다시 입력하도록 강요받았다고 상상해 보세요. 쿠키는 사이트가 자신을 식별하는 데 도움이 되는 정보를 저장하므로 이 문제를 또한 해결합니다. 이러한 종류의 쿠키는 사용자가 방문한 웹 사이트에서 만들고 사용되므로 자사 쿠키라고 합니다.

타사 쿠키도 있습니다. 이들을 더 잘 이해하기 위해 다음 예를 살펴보겠습니다.

"Friends"라는 가상의 소셜 미디어 회사가 다른 사이트에서 Friends 사용자가 Friends 피드에서 사이트의 콘텐츠를 공유할 수 있도록 구현하는 공유 단추를 제공한다고 가정해 보겠습니다. 이제 사용자가 공유 단추를 사용하는 뉴스 웹 사이트의 뉴스 기사를 읽고 클릭하여 자동으로 친구 계정에 게시합니다.

이렇게 하려면 뉴스 문서가 로드될 때 브라우저가 platform.friends.com에서 친구 공유 단추를 가져옵니다. 이 프로세스 내에서 브라우저는 사용자의 로그인 자격 증명이 포함된 Friends 쿠키를 Friends 서버에 요청에 첨부합니다. 이를 통해 친구는 사용자가 로그인하지 않아도 사용자를 대신하여 피드에 뉴스 문서를 게시할 수 있습니다.

이는 타사 쿠키를 사용하여 가능합니다. 이 경우 타사 쿠키는 platform.friends.com에 대해 브라우저에 저장되므로 platform.friends.com 은 사용자를 대신하여 친구 앱에서 게시물을 만들 수 있습니다.

타사 쿠키 없이 이 사용 사례를 달성하는 방법을 잠시 상상하면 사용자는 많은 수동 단계를 수행해야 합니다. 먼저 사용자는 뉴스 문서에 대한 링크를 복사해야 합니다. 둘째, 사용자는 별도로 친구 앱에 로그인해야 합니다. 그런 다음 사용자가 게시물 만들기 단추를 클릭합니다. 그런 다음 링크를 복사하여 텍스트 필드에 붙여넣은 다음, 마지막으로 게시를 클릭합니다. 알 수 있듯이, 수동 단계를 획기적으로 줄일 수 있으므로 타사 쿠키는 사용자 경험을 크게 지원합니다.

일반적으로 타사 쿠키를 사용하면 사용자가 웹 사이트를 명시적으로 방문하지 않고도 데이터를 사용자의 브라우저에 저장할 수 있습니다.

보안 문제

쿠키는 사용자 환경 및 고급 광고를 개선하지만 CSRF(Cross-Site Request Forgery) 공격과 같은 보안 취약점도 도입할 수 있습니다. 예를 들어, 사용자가 결제 사이트에 로그인하여 신용 카드 결제 요금을 지불하고 로그아웃하지 않고 사이트를 떠난 다음 동일한 세션에서 악성 사이트로 이동하면 CSRF 공격이 발생할 수 있습니다. 악성 사이트에는 페이지가 로드될 때 실행되는 뱅킹 사이트에 요청을 하는 코드가 포함될 수 있습니다. 사용자가 여전히 뱅킹 사이트에 대해 인증되므로 세션 쿠키를 사용하여 CSRF 공격을 실행하여 사용자의 은행 계좌에서 자금 전송 이벤트를 시작할 수 있습니다. 이것은 사이트를 방문할 때마다 모든 쿠키가 HTTP 요청에 첨부되기 때문입니다. 그리고 이러한 보안 문제 때문에, 구글은 현재 그것들을 완화하려고 노력하고 있습니다.

Target은 쿠키를 어떻게 사용합니까?

이 모든 구문을 통해 Target이 쿠키를 사용하는 방법을 살펴보겠습니다. 먼저 Target 을 사용하려면 사이트에 Target JavaScript 라이브러리를 설치해야 합니다. 이렇게 하면 사이트를 방문하는 사용자의 브라우저에 자사 쿠키를 배치할 수 있습니다. 사용자가 웹 사이트와 상호 작용할 때 사용자의 행동 및 관심 데이터를 JavaScript 라이브러리를 통해 Target에 전달할 수 있습니다. Target JavaScript 라이브러리는 자사 쿠키를 사용하여 사용자에 대한 식별 정보를 추출하여 사용자의 행동 및 관심 데이터에 매핑합니다. 그런 다음 이 데이터는 Target에서 개인화 활동을 수행하는 데 사용됩니다.

또한 Target은 타사 쿠키를 사용합니다(경우에 따라). 다른 도메인에 있는 여러 웹 사이트를 소유하고 있고 해당 웹 사이트에서 사용자 여정을 추적하려는 경우 도메인 간 추적을 활용하여 타사 쿠키를 사용할 수 있습니다. Target JavaScript 라이브러리에서 도메인 간 추적을 활성화하면 계정이 타사 쿠키 사용을 시작합니다. 사용자가 한 도메인에서 다른 도메인으로 이동할 때 브라우저는 Target 의 백엔드 서버와 통신하며, 이 프로세스에서는 타사 쿠키가 생성되고 사용자의 브라우저에 배치됩니다. 사용자의 브라우저에 있는 타사 쿠키를 통해 Target은(는) 단일 사용자에 대해 여러 도메인 간에 일관된 경험을 제공할 수 있습니다.

Google의 새로운 쿠키 레서피

Google은 사이트 간에 쿠키가 전송될 때 사용자를 보호하기 위해 Set-Cookie 헤더에서 SameSite 속성 구성 요소를 사용하여 쿠키를 관리해야 하는 SameSite라는 IETF 표준에 대한 지원을 추가할 계획입니다.

SameSite 속성으로 전달할 수 있는 Strict, Lax 또는 None값이 있습니다.

설명
Strict 이 설정을 사용하는 쿠키는 처음에 설정된 도메인을 방문할 때만 액세스할 수 있습니다. 즉, Strict는 쿠키를 사이트 간에 사용할 수 없게 차단합니다. 이 옵션은 은행과 같이 높은 수준의 보안이 필요한 애플리케이션에 가장 적합합니다.
Lax 이 설정을 사용하는 쿠키는 같은 사이트 요청에서만 전송되거나, HTTP GET 과 같은 idempotent HTTP 요청이 아닌 최상위 수준의 탐색 시에만 전송됩니다. 따라서 쿠키는 타사에서 사용할 수 있지만 사용자를 CSRF 공격으로부터 보호하는 추가 보안 기능이 있는 경우 사용됩니다.
없음 이 설정을 사용하는 쿠키는 현재 쿠키와 동일한 방식으로 작동합니다.

Chrome 80은 위의 사항을 고려하여 사용자에 대해 두 가지 독립 설정을 도입합니다. "SameSite를 기본 쿠키로 지정" 및 "SameSite가 없는 쿠키를 보호해야 합니다." 이러한 설정은 Chrome 80에서 기본적으로 활성화됩니다.

SameSite 대화 상자

  • SameSite를 기본 쿠키로 지정: 이 설정을 지정하면, SameSite 속성을 지정하지 않은 모든 쿠키를 자동으로 사용할 수 없게 SameSite = Lax됩니다.
  • SameSite가 없는 쿠키를 보호해야 함: 이 설정을 지정하면, SameSite 속성이 없거나 쿠키를 보호해야 SameSite = None 합니다. 이 컨텍스트에서 보호란 모든 브라우저 요청이 HTTPS 프로토콜을 따라야 한다는 것을 의미합니다. 이 요구 사항을 준수하지 않는 쿠키는 거부됩니다. 모든 웹 사이트는 이러한 요구 사항을 충족하기 위해 HTTPS를 사용해야 합니다.

Google의 보안 모범 사례를 따르는 Target

Adobe 시 Adobe는 항상 보안 및 개인 정보에 대한 업계의 최신 모범 사례를 지원하고 싶습니다. Target이 Google에서 도입된 새로운 보안 및 개인 정보 설정을 지원함을 발표하게 되어 기쁘게 생각합니다.

"SameSite를 기본 쿠키로 지정" 설정의 경우 Target은(는) 영향을 받지 않고 자동으로 개인화를 계속 전달합니다. Target 은 퍼스트 파티 쿠키를 사용하며, Google Chrome에 의해 플래그가 SameSite = Lax 적용되므로 계속 제대로 작동합니다.

"SameSite가 없는 쿠키를 보호해야 함" 옵션의 경우 Target에서 도메인 간 추적 기능을 옵트인하지 않으면 Target의 자사 쿠키가 계속 작동합니다.

그러나 도메인 간 추적을 사용하여 여러 도메인에서 Target을 활용하도록 선택한 경우에는 Chrome에 SameSite = None 및 Secure 플래그를 타사 쿠키에 사용해야 합니다. 즉, 사이트에서 HTTPS 프로토콜을 사용해야 합니다. Target의 클라이언트 측 라이브러리는 자동으로 HTTPS 프로토콜을 사용하고 SameSite = None 및 Secure 플래그를 Target의 타사 쿠키에 첨부하여 모든 활동이 계속 전달되도록 합니다.

필요한 작업

Target이 Google Chrome 80 이상에서 계속 작동하도록 하려면 다음 열이 표시되는 아래 표를 참조하십시오.

  • Target JavaScript 라이브러리: at.js 1.at.js 2. xon을 클릭합니다.
  • SameSite를 기본 쿠키로 지정 = 활성화됨: 사용자에게 "SameSite를 기본 쿠키로 지정"이 활성화되어 있는 경우 이 쿠키가 사용자에게 어떤 영향을 미치며 계속 작동하기 위해 수행해야 Target 하는 작업이 있는지 설명합니다.
  • SameSite가 없는 쿠키를 보호해야 함 = 활성화됨: 사용자에게 "SameSite가 없는 쿠키를 보호해야 함"이 활성화되어 있는 경우 사용자에게 어떤 영향을 미치며 Target 계속 작동하도록 하기 위해 수행해야 하는 작업이 있는지 설명합니다.
Target JavaScript 라이브러리 SameSite를 기본 쿠키로 지정 = 활성화됨 SameSite가 없는 쿠키를 보호해야 함 = 활성화됨
at.js 1.x (자사 쿠키 사용) 영향 없음. 도메인 간 추적을 사용하지 않는 경우에는 영향을 주지 않습니다.
at.js 1.x 도메인 간 추적이 활성화된 경우 영향 없음. 사이트에 대해 HTTPS 프로토콜을 활성화해야 합니다.
Target 는 타사 쿠키를 사용하여 사용자를 추적하므로 타사 쿠키에는 SameSite = None 및 보안 플래그가 있어야 합니다. Secure 플래그를 사용하려면 사이트에서 HTTPS 프로토콜을 사용해야 합니다.
at.js 2.x 영향 없음. 영향 없음.

Target에서는 어떤 작업을 수행해야 합니까?

따라서 새로운 Google Chrome 80+ SameSite 쿠키 정책을 준수하는 데 도움이 되도록 플랫폼에서 무엇을 수행해야 합니까?

Target JavaScript 라이브러리 SameSite를 기본 쿠키로 지정 = 활성화됨 SameSite가 없는 쿠키를 보호해야 함 = 활성화됨
at.js 1.x (자사 쿠키 사용) 영향 없음. 도메인 간 추적을 사용하지 않는 경우에는 영향을 주지 않습니다.
at.js 1.x 도메인 간 추적이 활성화된 경우 영향 없음. at.js 1.x 도메인 간 추적이 활성화된 경우
at.js 2.x 영향 없음. 영향 없음.

HTTPS 프로토콜을 사용하여로 이동하지 않으면 어떤 영향이 있습니까?

사용자에게 영향을 주는 유일한 사용 사례는 Target에서 at.js 1을 통해 도메인 간 추적 기능을 사용하는 경우입니다.x​에서 지원되지 않습니다. Google에서 요구하는 HTTPS로 전환하지 않으면 사용하는 타사 쿠키가 Google에 의해 삭제되므로 도메인 간 고유 방문자 수가 증가합니다. 또한 타사 쿠키가 삭제되므로 사용자가 한 도메인에서 다른 도메인으로 이동할 때 Target 은(는) 해당 사용자에 대해 일관되고 개인화된 경험을 제공할 수 없습니다. 타사 쿠키는 주로 자신이 소유한 도메인을 탐색하는 단일 사용자를 식별하는 데 사용됩니다.

결론

업계에서 소비자를 위해 보다 안전한 웹을 만들기 위해 노력함에 따라 Adobe 은 고객이 최종 사용자에 대한 보안 및 개인 정보를 보장하는 방식으로 개인화된 경험을 제공할 수 있도록 지원하기 위해 노력을 아끼지 않고 있습니다. 위에서 언급한 우수 사례를 따르고 Target을 활용하여 Google Chrome의 새로운 SameSite 쿠키 정책을 준수하면 됩니다.

이 페이지에서는