Publicado por Katharina Familia Almonte, líder de producto global de Google en el proyecto AMP
El año pasado, Chrome anunció que tiene previsto introducir un sistema de clasificación de cookies como parte de su esfuerzo continuo por mejorar la privacidad y la seguridad en la Web, que se espera que entre en vigencia con la versión 80 de Chrome en febrero de 2020. Mozilla reafirmó su compromiso con el nuevo modelo de clasificación de cookies mediante la declaración de su intención de implementar en Firefox requisitos SameSite=None; Secure para las cookies entre sitios. Microsoft también anunció planes para empezar a implementar en la versión 80 de Microsoft Edge el modelo que en un principio fue un experimento.
El equipo de AMP está comprometido con la protección de la privacidad de los usuarios, y esta entrada de blog explicará cómo puedes brindar una mayor transparencia y elección con los próximos cambios de navegadores, manteniendo al mismo tiempo una buena experiencia de usuario con AMP. Como se espera que se lance Chrome 80 en febrero, esta entrada de blog se centrará específicamente en los cambios de ese navegador.
Explicación de la nueva configuración de cookies de Chrome
El nuevo modelo seguro de forma predeterminada de Chrome supone que se deben proteger todas las cookies del acceso externo, a menos que se especifique lo contrario. Los desarrolladores deben utilizar una nueva configuración de cookies, SameSite=None, a fin de designar cookies para el acceso entre sitios, y un atributo adicional de seguridad para que solo se pueda acceder a las cookies entre sitios mediante conexiones HTTPS. Chrome tratará las cookies que no tengan un valor declarado de SameSite como SameSite=Lax. Solo las cookies con la opción SameSite=None; Secure estarán disponibles para acceso externo, siempre y cuando se acceda a ellas desde conexiones seguras. Para obtener más información sobre el nuevo modelo, lee esta entrada de blog.
Usuarios afectados
Si tu sitio necesita acceder a tus cookies propias en las páginas de AMP que se encuentran en la Caché de AMP, te recomendamos que evalúes cuidadosamente si los próximos cambios en el navegador afectarán tu experiencia del usuario. Este podría ser el caso, por ejemplo, cuando los usuarios pasan de la caché de AMP al dominio de origen, y un muro de pago, un estado de inicio de sesión, una medición o un carrito de compras se basan en el acceso de cookies propias. Hay dos soluciones que podrías emplear, pero la que sea mejor para tu sitio dependerá de los casos de uso específicos, y eso puede cambiar con el paso del tiempo.
Designa cookies para el acceso entre sitios
Una solución para los editores de AMP afectados por los cambios en la clasificación de las cookies de Chrome es establecer las cookies propias de las páginas de AMP como SameSite=None; Secure. Eso designará a las cookies propias para el acceso entre sitios y evitará interrupciones en la experiencia del usuario:
Set-Cookie: widget_session=abc123; SameSite=None; Secure
La ventaja de este enfoque es que es el más fácil de aplicar, pero si los navegadores proceden a ofrecer a los usuarios controles minuciosos para administrar las cookies a las que accede un solo sitio por separado de las cookies a las que acceden varios sitios, existe un mayor riesgo de que los usuarios borren las cookies propias en las páginas de AMP almacenadas en caché, ya que se marcarán para el acceso entre sitios.
Signed Exchange ofrece ayuda
De forma alternativa, los editores pueden usar Signed Exchange para lograr un estado en el que se traten las cookies propias como tales en las páginas de AMP procesadas en la Caché de AMP. Signed Exchange es una tecnología emergente que puede utilizarse para atribuir la URL de una página al dominio del editor original, incluso cuando la página se entrega a través de la caché de AMP con todos los beneficios de velocidad de carga que proporciona (consulta esta entrada de blog y esta guía). El beneficio de Signed Exchange es que cuando los navegadores empiezan a impedir que las cookies obtengan acceso externo (a menos que se especifique lo contrario), Signed Exchange se asegurará de que las cookies propias no requieran una designación en las páginas que se muestran en la Caché de AMP. Sin embargo, Signed Exchange no aborda todos los casos de uso, ya que, cuando se publicó este artículo, no admitía el carrusel de Noticias principales.
Resumen
En resumen, Chrome tiene pensado introducir la nueva configuración de cookies SameSite=None; Secure en febrero. Para garantizar una experiencia del usuario óptima en las páginas de la caché de AMP que necesitan acceder a cookies propias, recomendamos a los editores que designen las cookies para el acceso entre sitios a través de esta nueva configuración o que implementen Signed Exchange. Esperamos que esta entrada de blog te ayude a mantener una buena experiencia del usuario y al mismo tiempo allane el camino hacia mayores controles de privacidad para los usuarios, a medida que los navegadores empiecen a adoptar el nuevo modelo de clasificación de cookies. Para obtener más detalles sobre cómo usar y probar las cookies de SameSite de Chrome, consulta la guía de web.dev y las sugerencias en las actualizaciones de SameSite de Chromium.
Source: Google Dev