Google намерен до 2022 года прекратить поддержку сторонних Cookie в Chrome

Компания Google объявила о намерении в течение ближайших двух лет полностью прекратить в Chrome поддержку сторонних Cookie, выставляемых при обращении к сайтам, отличным от домена текущей страницы. Подобные Cookie применяются для отслеживания перемещений пользователя между сайтами в коде рекламных сетей, виджетов социальных сетей и систем web-аналитики.

Как и заявленное вчера намерение унифицировать заголовок User-Agent, отказ от сторонних Cookie продвигается в рамках инициативы Privacy Sandbox, нацеленной на достижение компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей. До конца этого года в режиме origin trial ожидается включение в браузер дополнительных API для измерения конверсии и персонализации рекламы без применения сторонних Cookie.

Для определения категории интересов пользователя без проведения индивидуальной идентификации и без привязки к истории посещения конкретных сайтов, рекламным сетям предлагается использовать API Floc, для оценки активности пользователя после перехода на рекламу - API Conversion Measurement, а для разделения пользователей без использования межсайтовых идентификаторов - API Trust Token. Развитие спецификаций, связанных с показом таргетированной рекламы без нарушения конфиденциальности, ведётся отдельной рабочей группой, созданной при организации W3C.

В настоящее время в контексте защиты от передачи Cookie в ходе CSRF-атак применяется указываемый в заголовке Set-Cookie атрибут SameSite, который начиная с Chrome 76 по умолчанию выставлен в значение "SameSite=Lax", ограничивающее отправку Cookie для вставок со сторонних сайтов, но сайты могут отменить ограничение, явно выставляя при установке Cookie значение SameSite=None. Атрибут SameSite может принимать два значения ‘strict’ или ‘lax’. В режиме 'strict' Cookie удерживаются от отправки для любых видов межсайтовых запросов. В режиме 'lax' применяются более мягкие ограничения, и передача Cookie блокируется только для межсайтовых субзапросов, таких как запрос изображения или загрузка контента через iframe.

В Chrome 80, намеченном на 4 февраля, будет применено более жёсткое ограничение, запрещающее обработку сторонних Cookie для запросов без HTTPS (с атрибутом SameSite=None Cookie смогут выставляться только в режиме Secure). Кроме того, продолжается работа по реализации средств для определения и защиты от применения обходных методов отслеживания и скрытой идентификации ("browser fingerprinting").

Напомним, что в Firefox, начиная с выпуска 69, по умолчанию обеспечено игнорирование Cookie всех сторонних систем отслеживания перемещений. Google считает подобную блокировку оправданной, но требующей предварительной подготовки Web-экосистемы и предоставления альтернативных API для решения задач, для которых ранее использовались сторонние Cookie, без нарушения конфиденциальности и не подрывая модели монетизации сайтов, финансируемых за счёт показа рекламы. В ответ на блокировку Cookie без предоставления альтернативы рекламные сети не прекратили отслеживание, а лишь перешли к применению более изощрённых методов на основе скрытой идентификации пользователей (fingerprinting) или через создание для трекера отдельных поддоменов в домене сайта, на котором показывается реклама.