הצגנו ב-Chrome חוויית משתמש חדשה שמאפשרת למשתמשים לבחור איך יתבצע הטיפול בקובצי Cookie של צד שלישי במהלך הגלישה. יכול להיות שתצטרכו לזהות אם קובצי Cookie של צד שלישי זמינים בהקשר נתון באתרים ובשירותים. ל-Chrome יש שתי שיטות עיקריות לזיהוי גישה לקובצי cookie של צד שלישי לתוכן מוטמע: שימוש בשיטת JavaScript hasStorageAccess ותצפית בכותרות Sec-Fetch-Storage-Access.
ארגז החול לפרטיות הציג ממשקי API שעשויים להעניק למסגרות ספציפיות גישה לקובצי Cookie של צד שלישי אם התנאים מסוימים מתקיימים. לכן חשוב לזהות גישה לקובצי cookie שלא חולקו למחיצות, לפי הטמעה.
זיהוי גישה לקובצי cookie של צד שלישי ב-iframes
כשתוכן של iframe מתארח באתר שונה מהאתר שמוצג בסרגל הכתובות של המשתמש, הוא נחשב לתוכן חוצה-אתרים, ויכול להיות שמוגבלים בו קובצי cookie של צד שלישי. ה-iframe יכול לזהות אם יש לו כרגע גישה לקובצי cookie של צד שלישי, על ידי קריאה ל-await document.hasStorageAccess(). השיטה הזו מחזירה את הערך true או false, בהתאם לכך אם למסגרת יש גישה לקובצי cookie שלא חולקו למחיצות או לא.
אם ה-iFrame משתמש ב-Storage Access API (SAA) כדי לקבל גישה לקובצי cookie לא מחולקים באתרים שונים (באמצעות SAA לבדו או עם קבוצות של אתרים קשורים), אפשר לבדוק את ההרשאה storage-access כדי לקבוע אם לפריים יש אפשרות להביע הסכמה לגישה לקובצי cookie לא מחולקים.
זיהוי גישה לקובצי cookie של צד שלישי בבקשות HTTP
החל מגרסה 133 של Chrome, הכותרת Sec-Fetch-Storage-Access נשלחת עם בקשות עם פרטי כניסה כדי לאפשר לשרת לדעת אם להקשר הקריאה שלו יש גישה לקובצי cookie שלא חולקו למחיצות או לא. הכותרת הזו מכילה אחד משלושת הערכים הבאים:
none: להטמעה אין גישה לקובצי cookie שלא חולקו למחיצותinactive: להטמעה יש הרשאה לגשת לקובצי cookie שלא חולקו למחיצות, אבל היא לא הפעילה אותהactive: להטמעה יש גישה לקובצי Cookie ללא חלוקה למחיצות
תנאים שמעניקים למטמיעים גישה לקובצי Cookie ללא חלוקה למחיצות
יש כמה דרכים להעניק גישה לקובצי cookie של צד שלישי שלא חולקו למחיצות, כדי לתמוך במקרים שבהם קובצי ה-cookie האלה מספקים פונקציונליות נדרשת. השיטות הבאות גורמות להענקת גישה לקובצי cookie ללא חלוקה למחיצות. במקרים מסוימים, צריך להפעיל את requestStorageAccess() או את requestStorageAccessFor() לפני שמקבלים גישה.
| שיטה | דוגמה | האם צריך לבצע קריאה ל-requestStorageAccess? |
|---|---|---|
| הנחיה של Storage Access API | המשתמש מתבקש לאשר את הגישה לאחסון ובוחר באפשרות 'אישור'. | כן |
| Federated Credential Management | המשתמש מתחבר באמצעות ספק זהויות מאוחד (IdP). המסגרת של ה-IdP מבקשת גישה לאחסון. | כן |
| קבוצות של אתרים קשורים (RWS) | הקוד המוטמע והגורם שמטמיע אותו שייכים לאותו RWS. | כן |
| 3PCs מופעל בהגדרות המשתמש | המשתמש בוחר לאשר 3PC לכל הגלישה שלו או רק למקור ספציפי. | לא |
| החרגות על סמך שיטות ניתוח | Chrome מזהה דפוס היוריסטי ומעניק גישה באופן אוטומטי לקובצי cookie שלא חולקו למחיצות. לא נדרשת קריאה ל-requestStorageAccess(). |
לא |
| החרגות זמניות (לדוגמה, תקופת חסד) | האתר או השירות נרשמו לחריגה זמנית ב-Chrome במהלך המעבר לפתרון עמיד יותר. | לא |
| מדיניות הארגון | האדמין של Chrome Enterprise בחברה בחר לאפשר 3PC בחלק מהתנועה או בכל התנועה. | לא |