Auditar o uso de cookies



Os navegadores da Web estão descontinuando cookies de terceiros. Por isso, é necessário verificar se eles estão sendo usados no seu site ou por serviços de terceiros de que ele depende.

Noções básicas sobre o uso de cookies de terceiros

Os cookies enviados em contextos entre sites, como iframes ou solicitações de sub-recursos, geralmente são chamados de cookies de terceiros, mesmo quando não são de terceiros. Os cookies de terceiros podem ser de terceiros, como um serviço de análise ou adtech, mas também podem ser de um site ou serviço próprio com um domínio diferente da página de nível superior, como um servidor de imagens ou um microsite.

Casos de uso de cookies de terceiros:

  • Conteúdo incorporado compartilhado de outros sites, como vídeos, mapas, exemplos de código e postagens em redes sociais.
  • Widgets para serviços externos, como pagamentos, agendas, agendamentos e reservas.
  • Widgets, como botões de redes sociais ou serviços antifraude.
  • Recursos remotos <img> ou <script> que dependem de cookies para serem enviados com uma solicitação (comumente usados para pixels de rastreamento e personalização de conteúdo).
Diagrama mostrando um cookie de terceiros.
Exemplo de um cookie de terceiros.

Em 2019, os navegadores mudaram o comportamento dos cookies, restringindo os cookies ao acesso primário por padrão. Todos os cookies usados em contextos entre sites hoje precisam ser definidos com o atributo SameSite=None.

Set-Cookie: cookie-name=value; SameSite=None; Secure

Isso significa que os cookies de terceiros podem ser identificados pelo atributo SameSite=None.

Auditar o uso de cookies de terceiros

Pesquise no código as instâncias em que você definiu o atributo do cookie SameSite como None. Se você fez mudanças anteriormente para adicionar SameSite=None aos seus cookies por volta de 2020, essas mudanças podem ser um bom ponto de partida.

Se você encontrar cookies marcados como SameSite=None que não parecem ser usados em um contexto entre sites, verifique se isso foi intencional, porque eles podem ser usados em um contexto entre sites em outro lugar. Caso contrário, SameSite=None pode ter sido definido acidentalmente, e você precisa remover qualquer uso desnecessário de SameSite=None.

Os cookies particionados, ou seja, aqueles definidos com o atributo Partitioned, vão continuar sendo exibidos depois que os cookies de terceiros forem descontinuados em navegadores compatíveis com esse atributo.

Chrome DevTools

O painel Network do Chrome DevTools mostra os cookies definidos e enviados de acordo com as solicitações. No painel "Application", você verá o título "Cookies" em "Armazenamento". Você pode navegar pelos cookies armazenados para cada site acessado como parte do carregamento da página. É possível classificar pela coluna SameSite para agrupar todos os cookies None.

Guia &quot;Issues&quot; do DevTools mostrando um aviso de cookies SameSite=None.
Guia "Problemas do DevTools"

No Chrome 118, a guia Problemas do DevTools mostra o problema de alteração interruptiva "O cookie enviado em um contexto entre sites será bloqueado em versões futuras do Chrome". O problema lista os cookies potencialmente afetados da página atual.

Ferramenta de análise de dados do Sandbox de privacidade

Também criamos a Ferramenta de análise de dados do Sandbox de privacidade (PSAT, na sigla em inglês), uma extensão do DevTools para facilitar a análise do uso de cookies durante as sessões de navegação. Isso fornece caminhos de depuração para cookies e recursos do Sandbox de privacidade, com pontos de acesso para saber mais sobre a iniciativa do Sandbox de privacidade.

Captura de tela da Ferramenta de análise de dados do Sandbox de privacidade (PSAT, na sigla em inglês) mostrando o número e os tipos de cookies usados em um modal e a lista de cookies por trás dele com o motivo do bloqueio.
Ferramenta de análise de dados do Sandbox de privacidade (PSAT)

A extensão complementa o DevTools com recursos especializados para analisar e depurar cenários relacionados à descontinuação de cookies de terceiros e à adoção de novas alternativas que preservam a privacidade.

Você pode fazer o download da extensão na Chrome Web Store ou acessar o repositório e o wiki PSAT.

Entre em contato com seus provedores de serviços terceirizados

Se você identificar cookies definidos por terceiros, verifique com esses provedores se eles têm planos para a descontinuação gradual de cookies de terceiros. Por exemplo, talvez seja necessário fazer upgrade da versão de uma biblioteca que você está usando, mudar uma opção de configuração no serviço ou não fazer nada se o terceiro estiver fazendo as mudanças necessárias.

Melhorar os cookies primários

Se o cookie nunca for usado em um site de terceiros, por exemplo, se você definir um cookie para gerenciar a sessão no site e ele nunca for usado em um iframe entre sites, marque-o explicitamente como SameSite=Lax ou SameSite=Strict. Há vários outros padrões razoáveis que podem ser usados para cookies primários. Para mais detalhes, confira Receitas de cookies primários.