Las cookies de terceros tienen muchos usos, pero también son habilitadores clave del seguimiento entre sitios.
Chrome propone una nueva experiencia para la elección de los usuarios con cookies de terceros. Debes preparar tu sitio para los usuarios que elijan navegar sin cookies de terceros.
En esta página, encontrarás información sobre soluciones que preservan la privacidad para escenarios incorporados que tradicionalmente se basan en cookies de terceros, así como estrategias que te ayudarán a elegir la solución que mejor se adapte a tus necesidades.
Los servicios incorporados o incorporados incluyen contenido de terceros (como videos o mapas), componentes interactivos (como chat, sistemas de comentarios o servicios de pago), servicios de acceso y mucho más.
Los desarrolladores de incorporaciones deben realizar la mayor parte del trabajo para migrar desde las cookies de terceros, en lugar de los sitios que alojan incorporaciones. En esta guía, se analizan principalmente las soluciones para desarrolladores que crean servicios incorporados.
Si tu sitio depende de una incorporación que usa cookies de terceros, asegúrate de auditar y probar los recorridos relacionados con la incorporación, y comunícate con los proveedores de incorporación si descubres alguna falla.
Audita y prueba los recorridos del usuario relacionados con las incorporaciones
La mejor manera de determinar si tus incorporaciones se ven afectadas por cookies de terceros es probar los flujos de usuarios de las incorporaciones de terceros con la marca de prueba de cookies de terceros habilitada.
Una vez que hayas restringido las cookies de terceros, prueba estas situaciones comunes de incorporación:
- Widgets de chat: ¿Puedes iniciar una sesión de chat? ¿Puedes actualizar la página sin perder la sesión? ¿Puedes navegar a otras páginas y mantener tu sesión?
- Incorporaciones de contenido: ¿Puedes ver contenido de video o algún otro contenido incorporado? ¿Se mantienen las preferencias del usuario, como el idioma o los subtítulos? ¿Ves anuncios cuando es normal? Por ejemplo, ¿no los ves como suscriptor de Premium?
- Acceso: ¿Los accesos, incluidos los inicios de sesión único (SSO), funcionan para las incorporaciones compatibles? ¿Se conservan al volver a cargar la página y navegar a otras páginas que utilizan las mismas incorporaciones?
- Widgets de comentarios: ¿Puedes dejar comentarios, marcar “me gusta” o votar a favor de ellos?
- Soluciones de pago incorporadas: ¿Puedes completar los pagos correctamente?
En las siguientes secciones, encontrarás información más específica sobre cómo podrían verse afectados esos flujos.
Casos de uso habituales
Hay varias APIs que se pueden usar para incorporaciones que tradicionalmente dependían de cookies de terceros. En la siguiente tabla, se enumeran algunos flujos de trabajo comunes y las APIs recomendadas para usar como resumen de alto nivel. En las siguientes secciones, se explicará el razonamiento de estas recomendaciones.
| Caso de uso | API recomendada para el uso de cookies de terceros |
|---|---|
| Widget de chat | CHIPS |
| Incorporaciones de mapa | CHIPS |
| Dominios de zona de pruebas para contenido no confiable de usuarios (como googleusercontent.com y githubusercontent.com) que necesitan un estado con alcance por publicador |
CHIPS |
| Anuncios incorporados que necesitan alcance de estado por publicador | CHIPS |
| Accede con un proveedor de identidad | FedCM |
| Incorporación alojada en orígenes diferentes, pero relacionados. | API de Storage Access con conjuntos de sitios web relacionados |
| Incorporación de contenido con preferencias basadas en el acceso (como contenido de video sin anuncios o preferencias de idioma o subtítulos) |
API de Storage Access |
| Widget para comentarios en redes sociales que requiere acceso | API de Storage Access |
Elegir la API que se usará en casos de uso incorporados de terceros
En esta sección, se explica cómo elegir una API alternativa adecuada y se explican las APIs recomendadas.
El siguiente diagrama de flujo ayuda a elegir entre las opciones disponibles:
.
El diagrama de flujo tiene tres preguntas principales, y las veremos en más detalle y por qué se recomienda una API determinada en cada caso.
1. ¿Las cookies son específicas del sitio de incorporación?
Muchas de las incorporaciones de terceros se usan de forma independiente en sitios que no se relacionan con nada. Por ejemplo, los widgets de chat para la atención al cliente a menudo requieren cookies para funcionar, pero no necesitan compartir estas cookies entre dos organizaciones completamente diferentes que ambas utilizan la misma solución de widget de chat. De hecho, en muchos de estos casos, se prefiere no permitir el uso compartido de cookies.
Si proporcionas un servicio de incorporación de terceros a otros sitios y este depende de cookies, considera si esas cookies son específicas del servicio del sitio en el que está incorporado. ¿A veces las instancias de tu incorporación en otros sitios los comparten?
Si no es necesario compartir las cookies, la opción más fácil es particionarlas por medio de CHIPS. Esta API vincula las cookies de terceros al sitio de nivel superior, en lugar de permitir que todos los sitios que usen la misma incorporación de terceros puedan compartirlas. CHIPS es fácil de implementar, ya que solo requiere agregar un atributo Partitioned adicional a las cookies existentes. Esto permite que los servicios incorporados sigan guardando el estado, pero quita el almacenamiento compartido entre sitios que permitiría el seguimiento entre sitios.
Los sitios también deben verificar si se usan cookies por las razones correctas. Las cookies solo deben usarse cuando se configuran o deben enviarse con solicitudes HTTP. Si este no es el caso y las cookies solo se usan como una opción de almacenamiento conveniente, entonces, se deben considerar las diversas APIs de almacenamiento. De esta manera, los datos se mantienen locales cuando no es necesario enviarlos. Las APIs de almacenamiento ya están particionadas en todos los navegadores principales, de manera similar que CHIPS particiona las cookies.
2. ¿Las cookies son de un proveedor de identidad de terceros?
Un uso común de las cookies de terceros en las incorporaciones es proporcionar funciones de acceso administradas por un proveedor de acceso externo, como Acceder con Google. Las cookies particionadas no son una opción en este caso.
Federated Credential Management (FedCM) es una API dedicada específicamente para este caso de uso y funciona sin cookies de terceros. Si el proveedor de identidad admite FedCM, es posible que no se necesiten cookies de terceros.
Puedes obtener más información para abordar los efectos de las cookies de terceros en los flujos de trabajo de acceso en la guía de identidad.
3. ¿Las cookies se usan en una pequeña cantidad de sitios relacionados?
Si ninguna de las opciones anteriores es un reemplazo adecuado de las cookies, deberás volver a habilitar el acceso a cookies de terceros para la incorporación. Esto se puede habilitar en casos de uso específicos y controlados con la API de Storage Access. Esta API vuelve a habilitar el acceso completo a cookies de terceros (sujeto a controles), por lo que es la opción más eficaz. Por eso, se recomienda evitarlo si una alternativa más restrictiva es suficiente.
Estos son algunos requisitos para usar la API de Storage Access:
- El usuario debe haber visitado previamente el sitio de la incorporación en un nivel superior. Por ejemplo, si se incorpora un sistema de comentarios, el usuario también debe visitar el sitio de ese sistema.
- Para poder compartir las cookies, el usuario tiene que interactuar con el elemento incorporado. Esto significa que tal vez no sea posible cargar todo el contenido incorporado antes de la interacción del usuario.
- Es posible que el usuario deba aprobar el uso compartido de cookies con una ventana emergente del navegador, especialmente en la primera instancia y, luego, periódicamente.
- Es posible que el sitio de incorporación también deba establecer atributos adicionales de la zona de pruebas.
Estas restricciones garantizan que la poderosa acción de volver a habilitar las cookies de terceros solo se lleve a cabo cuando el usuario y el sitio lo esperan. Sin embargo, en algunos casos, es posible que se omitan las acciones del usuario. Por ejemplo, si el usuario aprobó recientemente el acceso, es posible que no sea necesario volver a solicitarlo durante un período de tiempo (según lo define el navegador).
Otra situación en la que es probable que el usuario lo espere es para los sitios relacionados. Por ejemplo, algunas organizaciones utilizan varios orígenes diferentes, que el navegador considera entre sitios, por lo que el uso de cookies en ellas se considera como un tercero. Entre los ejemplos, se incluyen marcas con sitios específicos de un país (como example.com y example.co.uk) o sitios web específicos de una marca (como example.car y example.house).
En este caso, donde hay una pequeña cantidad de sitios web relacionados, puedes usar Conjuntos de sitios web relacionados. Los sitios se envían a Chrome para que Chrome sepa que están relacionados. Esto permite el acceso a la API de Storage Access de una manera más fácil de usar y con menos solicitudes de usuario.
En el caso de sitios web no relacionados que en realidad son de terceros y en los que se requiere acceso completo a cookies de terceros porque las APIs alternativas no son suficientes, el uso de la API de Storage Access estará sujeto a requisitos y solicitudes completos.
Comparación de las distintas APIs
Cada solución tiene características y limitaciones ligeramente diferentes que las convierten en una mejor opción para determinados casos de uso. En la siguiente tabla, se resumen las principales diferencias:
| CHIPS | Almacenamiento particionado | FedCM | API de Storage Access con conjuntos de sitios web relacionados | API de Storage Access | |
|---|---|---|---|---|---|
| No es necesario que el usuario haya accedido previamente al sitio incorporado como un sitio de nivel superior. | |||||
| No requiere que el usuario solicite la aprobación del acceso. | |||||
| No requiere que el usuario interactúe con la incorporación | (También puede ser así para los sitios incorporados con acceso de nivel superior). |
||||
| Esfuerzo de implementación | Muy bajo | Bajo | Alto | Medio | Medio |
| Se pueden usar para compartir cookies entre varios sitios o orígenes de nivel superior. | (Propuesta en proceso de debate.) |
||||
| Disponible en navegadores que no sean de Chromium | (Recurre a la API de Storage Access). |
Casos de uso compatibles con todos los navegadores
La compatibilidad de los navegadores es uno de los factores principales a la hora de decidir sobre una solución, como se menciona en la última línea de la tabla. Algunas de las APIs (CHIPS, FedCM, Conjuntos de sitios web relacionados) solo están disponibles en los navegadores Chromium. En la actualidad, las dos únicas soluciones disponibles para varios navegadores son las APIs de almacenamiento particionadas (cuando no se requieren cookies) o la API de Storage Access (cuando se requieren cookies).
Sin embargo, como se mencionó anteriormente, la API de Storage Access tiene una serie de restricciones que pueden afectar la experiencia del usuario en tu sitio web. El equipo de Chrome trabajó para agregar otras APIs, que están diseñadas para satisfacer casos de uso específicos y proporcionar una experiencia similar a lo que ha sido posible con las cookies de terceros. Por lo tanto, te recomendamos considerar cuáles son las mejores opciones y tratarlas como mejoras progresivas, con un resguardo de la API de Storage Access para navegadores no compatibles.
Dado que las cookies se pueden bloquear por varios motivos (por ejemplo, la configuración del navegador o las extensiones), la detección de la compatibilidad de la API puede no ser suficiente. En cambio, es mejor probar si existen las cookies esperadas y, en caso contrario, recurrir al flujo de trabajo de la API de Storage Access para solicitar acceso a cookies de terceros.
Actúa ya.
Si tu incorporación de terceros ya no funciona sin el uso de cookies de terceros, hay varias soluciones disponibles que abordan el posible impacto como se detalla en esta charla. El momento de auditar tu servicio en busca de cookies de terceros es ahora.
Para quienes experimentan fallas en sus incorporaciones ahora que Chrome está probando la eliminación de cookies de terceros, existen varias opciones a corto plazo de ayuda durante la migración a las alternativas descritas en esta entrada. Para obtener más información, consulta la documentación sobre cómo preservar las experiencias del usuario fundamentales.
Si tienes preguntas sobre casos de uso de incorporaciones de terceros que no se tratan en esta guía, puedes informar un problema nuevo mediante la función de “baja de las cookies de terceros”. etiqueta en nuestro repositorio de asistencia para desarrolladores.