Modifications de l’étiquetage SameSite de Google Chrome

Dernière mise à jour : 17 juillet 2024
  • Rubriques :

Créé pour :

  • Développeur
  • Utilisateur ou utilisatrice
  • Administration
  • Leader

L’attribut SameSite indique aux navigateurs à quel moment et de quelle manière déclencher des cookies dans les scénarios propriétaires et tiers. L’attribut SameSite peut avoir l’une des trois valeurs suivantes : strict, lax ou none. Chrome, Firefox, Edge, Safari et Opera prennent en charge strict et lax depuis novembre 2017, tandis que none a été introduit en 2018. Cependant, certains navigateurs plus anciens ne prennent pas en charge ce paramètre.

En février 2020, Google a lancé Chrome 80 et remplacé le paramètre par défaut none par lax lorsqu’un cookie n’a pas de valeur d’attribut SameSite spécifiée. Ce paramètre empêche l’utilisation d’un cookie sur un site tiers, également connu sous l’appellation « intersite ». Tout cookie tiers qui en résulte doit être défini sur SameSite=none et étiqueté comme étant sécurisé.

Les cookies sans valeur d’attribut SameSite spécifiée sont définis par défaut sur lax.

Consultez le document portant sur les normes des cookies pour plus d’informations sur les attributs SameSite.

Valeurs d’attribut SameSite

Valeur d’attribut SameSiteDescriptions
strictLes cookies comprenant ce paramètre sont uniquement envoyés lorsque la page de référence et la page de destination font toutes deux partie du même domaine que le cookie.
laxLes cookies comprenant ce paramètre sont uniquement envoyés lorsque le domaine affiché dans l’URL du navigateur correspond au domaine du cookie. Cela constitue le nouveau réglage par défaut des cookies dans Chrome.
noneLes cookies comprenant ce paramètre sont disponibles pour un accès externe ou tiers, tel que les accès « intersites ». Avant cette modification, le paramètre SameSite par défaut pour les cookies était none. L’utilisation de ce paramètre permet donc de conserver l’ancien comportement d’un cookie presque à l’identique. Cependant, Google exige que tout cookie comprenant ce paramètre affiche désormais l’indicateur « sécurisé ». Cela signifie que le cookie sera uniquement créé et envoyé avec des requêtes par HTTPS. Tous les cookies intersites ne présentant pas l’indicateur « sécurisé » seront rejetés par Google.

Ce que vous devez savoir en tant que client Adobe Experience Cloud

Aucune mise à jour JavaScript requise

Les produits Adobe ont déjà publié des mises à jour côté serveur pour définir les cookies tiers avec les attributs appropriés. Nos clients n’ont pas besoin d’effectuer une mise à jour de la bibliothèque JavaScript.

S’assurer que les points d’entrée tiers utilisent HTTPS

Tous les clients doivent confirmer que leur configuration JavaScript utilise HTTPS pour leurs appels aux services Adobe. Target, Audience Manager et le service d’identités Experience Cloud (ECID) redirigent les appels HTTP tiers vers leurs points d’entrée HTTPS respectifs, ce qui peut augmenter la latence. Cela signifie que vous n’êtes pas contraint de modifier votre configuration. Les clients Analytics doivent mettre à jour leurs implémentations pour utiliser exclusivement HTTPS, car les redirections spécifiques à Analytics peuvent entraîner une perte de données.

Les cookies correctement étiquetés devraient collecter les données comme prévu

Tant que les cookies sont correctement étiquetés, les navigateurs ne prennent aucune mesure pour les bloquer. Les clients auront la possibilité de bloquer certains types de cookies, mais il semblerait qu’il s’agisse pour le moment uniquement d’une option devant être sélectionnée manuellement.

Les cookies tiers existants sans étiquettes à jour seront ignorés.

Les cookies tiers créés avant que Chrome 80 ne commence à appliquer les paramètres SameSite=none et les indicateurs « sécurisé » seront ignorés par Chrome 80 si ces indicateurs sont absents.

La plupart des cookies tiers d’Adobe existants ne possèdent pas ces indicateurs et devront être mis à jour par les serveurs Edge avant que les utilisateurs ne procèdent à la mise à niveau vers Chrome 80, sans quoi ces cookies seront perdus. La mise à jour des serveurs Edge est automatique lorsque les utilisateurs visitent n’importe quel site web où le cookie est utilisé.

La plupart des produits Adobe ont déjà attribué les indicateurs appropriés aux cookies. Les implémentations d’Analytics qui emploient la collecte de données tierces et n’utilisent pas ECID constituent les seules exceptions. Il se peut que les clients connaissent une légère augmentation temporaire du nombre de nouveaux visiteurs qui auraient été autrement des visiteurs récurrents.

Diminution possible de la correspondance des cookies pour les partenaires de Destination et de Marketplace (Audience Manager uniquement)

Bien qu’Adobe décide de la mise à jour de ses cookies, Adobe ne peut pas obliger les partenaires à apporter les modifications nécessaires. La correspondance des cookies peut diminuer pour les clients Audience Manager qui utilisent des partenaires de Destination ou des partenaires de Marketplace qui n’ont pas effectué ces mises à jour.

Cookies tiers compatibles avec Analytics (cookies s_vi Analytics uniquement)

Certaines implémentations d’Analytics utilisent un pseudonyme CNAME Analytics pour activer la création du cookie s_vi dans le domaine de ce CNAME. Si le CNAME se trouve dans le même domaine que votre site web, il sera désigné comme cookie propriétaire. Cependant, si vous possédez plusieurs domaines et utilisez le même CNAME pour la collecte de données sur tous vos domaines, il sera désigné comme un cookie tiers sur ces autres domaines.

Lorsque lax devient le nouveau paramètre SameSite par défaut dans Chrome, le CNAME n’est plus visible sur les autres domaines.

Pour tenir compte du changement, Analytics définit désormais explicitement la valeur SameSite du cookie s_vi sur lax. Pour utiliser ce cookie dans un contexte tiers compatible, définissez la valeur SameSite sur none : cela signifie également que vous devez toujours utiliser HTTPS. Contactez l’assistance clientèle pour que la valeur SameSite soit modifiée pour vos CNAME sécurisés.

IMPORTANT
Cette action n’est pas requise pour les clients Analytics utilisant l’ECID, les clients utilisant un CNAME distinct pour chacun de leurs domaines ou les clients utilisant uniquement la collecte de données Analytics tierce.

Cookies standards des visiteurs Adobe

Seuls les cookies standards du visiteur communs sont répertoriés dans le tableau ci-dessous. Pour obtenir des configurations de cookies supplémentaires, consultez la documentation spécifique au produit ou prenez contact avec votre représentant Adobe.

ECID

CookieTypeAttribut SameSiteAttribut sécurisé
AMCV_###@AdobeOrgPropriétaire côté clientAucune valeur ajoutée *Chrome opte par défaut pour le paramètre laxConfigurable
AMCVS_###@AdobeOrgPropriétaire côté clientAucune valeur ajoutée *Chrome opte par défaut pour le paramètre laxConfigurable
s_ecidPropriétaire côté serveurSameSite==laxNon défini

Audience Manager

CookieTypeAttribut SameSiteAttribut sécurisé
DemdexTroisième niveaunoneDéfini sur sécurisé
DextpTroisième niveaunoneDéfini sur sécurisé

Analytics

CookieTypeAttribut SameSiteAttribut sécurisé
s_vi
  • Propriétaire côté serveur en cas d’utilisation de CNAME
  • Tiers en cas d’utilisation de 2o7.net ou omtrdc.net
  • lax si propriétaire
  • none si tiers

Les clients peuvent modifier le paramètre à l’aide d’un ticket provenant de l’assistance clientèle pour les domaines propriétaires

Défini, en cas d’utilisation de none et d’une demande HTTPS
s_fidPropriétaire côté clientAucune valeur ajoutée *Chrome opte par défaut pour le paramètre laxNon défini