Récemment Les développeurs de Google ont annoncé leur intention dans les deux prochaines années pour suspendre complètement la prise en charge par Chrome des cookies tiers établis lors de l'accès à des sites autres que le domaine de la page actuelle car ces cookies sont utilisés pour suivre les mouvements des utilisateurs entre les sites dans le code des réseaux publicitaires, des widgets de médias sociaux et des systèmes d'analyse Web.
C'est un mouvement qui va aussi de pair, avec l'appel que les développeurs de Chromium ont lancé dans leurs forums, car ils ont l'intention de supprimer l'en-tête User-Agent ainsi que la restriction de l'accès à la propriété navigator.userAgent dans JavaScript.
Tous cela est dû à l'initiative Privacy Sandbox dans le but de parvenir à un compromis entre la nécessité de préserver la confidentialité des utilisateurs et le désir pour les réseaux publicitaires et les sites de suivre les préférences des visiteurs.
D'ici la fin de cette année, en mode test d'origine, des API supplémentaires devraient être incluses dans le navigateur pour mesurer la conversion et la personnalisation de publicité sans l'utilisation de cookies tiers.
Pour déterminer la catégorie d'intérêts des utilisateurs sans procéder à une identification individuelle et sans référence à l'historique des visites sur des sites spécifiques, Les réseaux publicitaires sont invités à utiliser l'API Flocainsi que l'évaluation de l'activité des utilisateurs après le passage à la publicité, la mesure de la conversion API et la séparation des utilisateurs sans utiliser d'identifiants entre les sites avec Token API Trust.
Nous travaillons activement à travers l'écosystème pour donner aux navigateurs, éditeurs, développeurs et annonceurs la possibilité d'expérimenter ces nouveaux mécanismes, de tester s'ils fonctionnent bien dans diverses situations et de développer des implémentations de support, y compris le ciblage et la mesure des publicités, la prévention du déni de service. (DoS), antispam / fraude et authentification fédérée.
L'élaboration des spécifications liées à l'affichage de publicités ciblées sans violer la confidentialité est réalisée par un groupe de travail distinct créé par l'organisation W3C.
Actuellement, dans le cadre de protection contre la transmission de cookies lors d'attaques CSRF, l'attribut SameSite est utilisé spécifié dans l'en-tête Set-Cookie, qui, à partir de Chrome 76, est défini sur "SameSite = Lax" par défaut, ce qui limite l'envoi de cookies à partir de sites tiers, mais les sites peuvent supprimer la restriction en définissant explicitement SameSite = None lorsque définir le cookie.
L'attribut SameSite peut prendre deux valeurs de «strict» ou «lax».
- En mode "strict", les cookies ne sont envoyés pour aucun type de requête intersite.
- En mode «laxiste», des restrictions plus légères s'appliquent et la transmission de cookies n'est bloquée que pour les requêtes secondaires entre sites, comme la demande d'une image ou le téléchargement de contenu via un iframe.
Dans la prochaine version de Chrome 80 (qui est prévu pour le 4 février) une restriction s'appliquera Plus sévère qui interdit le traitement des cookies tiers pour les demandes autres que HTTPS (avec l'attribut SameSite = None, les cookies ne peuvent être définis qu'en mode sans échec).
En outre, les travaux se poursuivent sur la mise en œuvre des outils pour identifier et se protéger contre l'utilisation de méthodes secrètes d'identification et de contournement du suivi («empreintes digitales du navigateur»).
Dans Firefox à partir de la version 69, par défaut, les cookies sont ignorés par tous les systèmes de suivi tiers.
Google considère que ce blocage est justifié, mais nécessite une préparation préalable de l'écosystème web et la mise à disposition d'API alternatives pour résoudre les tâches pour lesquelles des cookies tiers étaient précédemment utilisés, sans violer la confidentialité et sans porter atteinte aux modèles de monétisation des sites financés par l'affichage. des publicités.
En réponse au blocage des cookies sans fournir d'alternative, les réseaux publicitaires n'ont pas arrêté le suivi, mais sont uniquement passés à des méthodes plus sophistiquées basées sur l'identification de l'utilisateur caché (empreinte digitale) ou à la création de sous-domaines séparés pour le traqueur sur le domaine du site sur lequel l'annonce est affiché.
source: https://blog.chromium.org