Show Menu
TEMAS×

Políticas de cookies de Google Chrome samesite

Google empezará a imponer nuevas directivas de cookies de forma predeterminada para los usuarios a partir de Chrome 80, que está previsto que se publique a principios de 2020. Este artículo explica todo lo que necesita saber sobre las nuevas directivas de cookies del SameSite, cómo Adobe Target admiten estas políticas y cómo puede utilizar Target para cumplir con las nuevas directivas de cookies del mismo sitio de Google Chrome.
A partir de Chrome 80, los desarrolladores web deben especificar explícitamente qué cookies pueden funcionar en distintos sitios web. Este es el primero de muchos anuncios que Google planea hacer para mejorar la privacidad y la seguridad en la web.
Dado que Facebook ha estado en el candelero con respecto a la privacidad y la seguridad, otros actores importantes como Apple, y ahora Google, han aprovechado la oportunidad para crear nuevas identidades como campeones de privacidad y seguridad. Apple lideró el paquete al anunciar por primera vez cambios en sus políticas de cookies a principios de este año a través de ITP 2.1 y recientemente, ITP 2.2. En ITP 2.1, Apple bloquea completamente las cookies de terceros y mantiene las cookies creadas en el explorador durante solo siete días. En ITP 2.2, las cookies se conservan sólo durante un día. El anuncio de Google no es tan agresivo como el de Apple, pero es el primer paso hacia el mismo objetivo final. Para obtener más información sobre las políticas de Apple, consulte Apple Intelligent Tracking Prevention (ITP) 2.x .

¿Qué son las cookies y cómo se utilizan?

Antes de profundizar en los cambios de Google en sus políticas de cookies, vamos a tocar qué son las cookies y cómo se utilizan. En pocas palabras, las cookies son pequeños archivos de texto almacenados en el explorador Web que se utilizan para recordar los atributos del usuario.
Las cookies son importantes porque mejoran la experiencia del usuario a medida que navega por la web. Por ejemplo: si va a comprar en un sitio web de comercio electrónico y agrega algo al carro de compras pero no inicia sesión ni compra en esa visita, las cookies recuerdan los artículos y los guardan en el carro de compras para la próxima visita. O imaginen si se vieron obligados a volver a introducir su nombre de usuario y contraseña cada vez que visiten su sitio web de medios sociales favorito. Las cookies también resuelven ese problema, ya que almacenan información que ayuda a los sitios a identificar quién es usted. Este tipo de cookies se denominan cookies de origen porque son creadas y utilizadas por el sitio web que ha visitado.
También existen cookies de terceros. Para comprenderlos mejor, consideremos este ejemplo:
Digamos que una hipotética empresa de medios sociales llamada "Amigos" proporciona un botón Compartir que otros sitios implementan para permitir a los usuarios de Amigos compartir el contenido del sitio en la fuente Amigos. Ahora, un usuario lee un artículo de noticias en un sitio web de noticias que utiliza el botón Compartir y hace clic en él para publicar automáticamente en su cuenta de amigos.
Para que esto suceda, el explorador obtiene el botón Compartir amigos desde platform.friends.com cuando se carga el artículo de noticias. Dentro de este proceso, el explorador adjunta las cookies de Amigos, que contienen las credenciales de inicio de sesión del usuario, a la solicitud a los servidores de Amigos. Esto permite a los amigos publicar el artículo en su fuente en nombre del usuario sin que el usuario tenga que iniciar sesión.
Todo esto es posible mediante cookies de terceros. En este caso, la cookie de terceros se guarda en el navegador para platform.friends.com que pueda platform.friends.com publicarse en la aplicación de amigos en nombre del usuario.
Si imagina por un momento cómo lograr este caso de uso sin cookies de terceros, el usuario tendría que seguir muchos pasos manuales. Primero, el usuario tendría que copiar el enlace al artículo de noticias. En segundo lugar, el usuario tendría que iniciar sesión en la aplicación Amigos por separado. A continuación, el usuario haría clic en el botón Crear anuncio. A continuación, el usuario copiará y pegará el vínculo en el campo de texto y, finalmente, hará clic en Publicar. Como puede ver, las cookies de terceros ayudan enormemente a los usuarios, ya que los pasos manuales se pueden reducir drásticamente.
De manera más general, las cookies de terceros permiten almacenar datos en el explorador de un usuario sin que este tenga que visitar explícitamente un sitio web.

Problemas de seguridad

Aunque las cookies mejoran la experiencia del usuario y la publicidad potente, también pueden introducir vulnerabilidades de seguridad como los ataques de falsificación de solicitudes entre sitios (CSRF). Por ejemplo: si un usuario inicia sesión en un sitio bancario para pagar facturas de tarjeta de crédito y abandona el sitio sin cerrar sesión y luego navega a un sitio malintencionado en la misma sesión, puede producirse un ataque de CSRF. El sitio malintencionado puede incluir código que realiza una solicitud al sitio bancario que se ejecuta cuando se carga la página. Dado que el usuario sigue autenticado en el sitio bancario, la cookie de sesión puede utilizarse para iniciar un ataque de CSRF a fin de iniciar un evento de transferencia de fondos desde la cuenta bancaria del usuario. Esto se debe a que cada vez que visita un sitio, todas las cookies se adjuntan en la solicitud HTTP. Y debido a estas preocupaciones de seguridad, Google ahora está tratando de mitigarlas.

¿Cómo utiliza Target las cookies?

Con todo lo dicho, veamos cómo Target usan las cookies. Para poder usar Target en primer lugar, debe instalar la biblioteca Target JavaScript en el sitio. Esto le permite colocar una cookie de origen en el explorador del usuario que visita el sitio. A medida que el usuario interactúa con el sitio web, puede pasar los datos de comportamiento e interés del usuario a Target través de la biblioteca JavaScript. La biblioteca Target JavaScript utiliza cookies de origen para extraer información de identificación del usuario y asignarla a los datos de comportamiento e interés del usuario. Estos datos son utilizados por Target el usuario para potenciar sus actividades de personalización.
Target también utiliza (a veces) cookies de terceros. Si tiene varios sitios web que viven en diferentes dominios y desea rastrear el viaje del usuario en esos sitios web, puede utilizar cookies de terceros mediante el seguimiento entre dominios. Al habilitar el seguimiento entre dominios en la biblioteca Target JavaScript, su cuenta comenzará a utilizar cookies de terceros. A medida que un usuario va de un dominio a otro, el explorador se comunica con el servidor back-end de Target, y en este proceso se crea una cookie de terceros que se coloca en el explorador del usuario. A través de la cookie de terceros que reside en el navegador del usuario, Target puede ofrecer una experiencia coherente en distintos dominios para un único usuario.

Target sigue las recomendaciones de seguridad de Google

En Adobe, siempre queremos ofrecer compatibilidad con las prácticas recomendadas más recientes del sector para la seguridad y la privacidad. We are happy to announce that Target supports the new security and privacy settings introduced by Google.
Para la configuración "SameSite de forma predeterminada cookies", Target seguirá ofreciendo personalización sin ningún impacto ni intervención por parte suya. Target usa cookies de origen y seguirá funcionando correctamente, ya que Google Chrome aplica el indicador SameSite = Lax .
Para la opción "Las cookies sin SameSite deben ser seguras", si no se ha incluido en la función de seguimiento entre dominios de Target, las cookies de origen de Target seguirán funcionando.
However, when you opt-in to use cross-domain tracking to leverage Target across multiple domains, Chrome requires SameSite = None and Secure flags to be used for third-party cookies. Esto significa que debe asegurarse de que los sitios utilizan el protocolo HTTPS. Las bibliotecas del lado del cliente de Target utilizarán automáticamente el protocolo HTTPS y adjuntarán los indicadores SameSite = None y de seguridad a las cookies de terceros Target para garantizar que todas las actividades sigan funcionando.

¿Qué es necesario hacer?

Para comprender lo que debe hacer para que los usuarios de Google Chrome 80+ Target sigan funcionando, consulte la tabla siguiente, de la que verá las siguientes columnas:
  • Biblioteca de JavaScript de Target: Si utiliza mbox.js, at.js 1. x o at.js 2. x en sus sitios.
  • SameSite de forma predeterminada cookies = Habilitado : Si los usuarios tienen "SameSite de forma predeterminada" habilitado, ¿cómo le afecta y qué debe hacer para Target continuar funcionando?
  • Las cookies sin SameSite deben ser seguras = Habilitadas : Si los usuarios tienen habilitada la opción "Las cookies sin SameSite deben ser seguras", ¿cómo le afecta y hay algo que necesite hacer para Target seguir funcionando?
Biblioteca de JavaScript de Target
SameSite con cookies predeterminadas = Habilitado
Las cookies sin SameSite debe ser seguras = Habilitado
mbox.js solo con cookies de origen.
Sin impacto.
No tiene impacto si no utiliza el seguimiento entre dominios.
mbox.js con el seguimiento entre dominios habilitado.
Sin impacto.
Debe habilitar el protocolo HTTPS para el sitio.
Target utiliza una cookie de terceros para rastrear a los usuarios y Google requiere que las cookies de terceros tengan SameSite = None y un indicador de seguridad. El indicador de seguridad requiere que los sitios utilicen el protocolo HTTPS.
at.js 1. x con cookie de origen.
Sin impacto.
No tiene impacto si no utiliza el seguimiento entre dominios.
at.js 1. x con el seguimiento entre dominios habilitado.
Sin impacto.
Debe habilitar el protocolo HTTPS para el sitio.
Target utiliza una cookie de terceros para rastrear a los usuarios y Google requiere que las cookies de terceros tengan SameSite = None y un indicador de seguridad. El indicador de seguridad requiere que los sitios utilicen el protocolo HTTPS.
at.js 2. x
Sin impacto.
Sin impacto.

¿Qué debe hacer Target?

Entonces, ¿qué teníamos que hacer en nuestra plataforma para ayudarle a cumplir con las nuevas políticas de cookies Google Chrome 80+ SameSite?
Biblioteca de JavaScript de Target
SameSite con cookies predeterminadas = Habilitado
Las cookies sin SameSite debe ser seguras = Habilitado
mbox.js solo con cookies de origen.
Sin impacto.
No tiene impacto si no utiliza el seguimiento entre dominios.
mbox.js con el seguimiento entre dominios habilitado.
Sin impacto.
Target agrega SameSite = None y marca de seguridad a la cookie de terceros cuando se llama a Target los servidores.
at.js 1. x con cookie de origen.
Sin impacto.
No tiene impacto si no utiliza el seguimiento entre dominios.
at.js 1. x con el seguimiento entre dominios habilitado.
Sin impacto.
at.js 1. x con el seguimiento entre dominios habilitado.
at.js 2. x
Sin impacto.
Sin impacto.

¿Cuál es el impacto si no pasa a utilizar el protocolo HTTPS?

El único caso de uso que le afectará es si está utilizando la función de seguimiento entre dominios en Target mbox.js o at.js 1. x . Sin pasar a HTTPS, que es un requisito de Google, verá un pico de visitantes únicos en sus dominios porque Google eliminará la cookie de terceros que utilizamos. Y como la cookie de terceros se eliminará, no Target podrá proporcionar una experiencia consistente y personalizada para ese usuario a medida que el usuario navega de un dominio a otro. La cookie de terceros se utiliza principalmente para identificar a un único usuario que navega por los dominios que le pertenecen.

Conclusión.

A medida que la industria avanza en la creación de una web más segura para los consumidores, Adobe está totalmente comprometida a ayudar a nuestros clientes a ofrecer experiencias personalizadas de manera que se garantice la seguridad y la privacidad de los usuarios finales. Todo lo que necesita hacer es seguir las prácticas recomendadas antes mencionadas y aprovechar Target para cumplir con las nuevas directivas de cookies del mismo sitio de Google Chrome.