無論您采取什么措施來為無 Cookie 的世界做準(zhǔn)備，都要從小處著手，先進(jìn)行測(cè)試。

譯自 Google and the Future of Online Privacy: Moving Beyond Third-Party Cookies，作者 Gilad Shriki。

更新: 我很喜歡這篇文章的最終效果，也很高興能夠從不同的角度來探討第三方 Cookie 即將消亡的問題。然而，命運(yùn)卻另有安排——在我寫完這篇文章幾天后，谷歌撤回了其（暫時(shí)）停止使用第三方 Cookie 的決定。

我當(dāng)時(shí)一邊咒罵自己的運(yùn)氣，一邊想著其他時(shí)間線，腦海中浮現(xiàn)出漫威劇集“假如…？”。這部劇集講述了如果佩吉·卡特成為美國(guó)隊(duì)長(zhǎng)，或者如果奇異博士變得邪惡，或者如果復(fù)仇者聯(lián)盟遭到僵尸攻擊，等等會(huì)發(fā)生什么。

現(xiàn)在，我謙卑地過渡到下一個(gè)話題，并向您展示：“假如……開發(fā)者不得不在一個(gè)沒有 Cookie 的世界中航行？”

在網(wǎng)絡(luò)的早期，如果您更改了網(wǎng)站上的設(shè)置或?qū)⑸唐贩湃胭?gòu)物車，刷新頁(yè)面就意味著從頭開始。網(wǎng)站將每個(gè)訪問者都視為陌生人。為了根據(jù)過去的會(huì)話創(chuàng)建更個(gè)性化的在線體驗(yàn)，Netscape創(chuàng)建了瀏覽器 Cookie，它將用戶的偏好和瀏覽歷史記錄保存在他們的設(shè)備上。其他瀏覽器很快便采用了這種有用的功能。

雖然 Netscape 引入的第一方 Cookie 旨在通過記住偏好和設(shè)置來改善用戶體驗(yàn)，但廣告商很快開始實(shí)施第三方 Cookie 來跟蹤用戶的互聯(lián)網(wǎng)活動(dòng)，并根據(jù)他們之前訪問過的網(wǎng)站向他們投放廣告。多年來，第一方 Cookie 一直用于身份驗(yàn)證和登錄網(wǎng)站，而第三方 Cookie 一直被用于定向廣告、跨網(wǎng)站跟蹤用戶、數(shù)據(jù)收集和其他類型的監(jiān)控。

出于這些隱私原因，谷歌計(jì)劃效仿 Mozilla 和 Apple，它們已經(jīng)在Firefox和Safari中分別阻止了第三方 Cookie，并計(jì)劃在 2025 年默認(rèn)情況下在 Chrome 和基于 Chromium 的瀏覽器中棄用第三方 Cookie。谷歌已經(jīng)默認(rèn)情況下限制了1% 的 Chrome 用戶使用第三方 Cookie。該公司此后撤回了這些計(jì)劃。

雖然第三方 Cookie 的終結(jié)有其好處，但最終的證明將取決于實(shí)際效果——與任何重大變化一樣，第三方 Cookie 的終結(jié)引發(fā)了許多問題。無論您對(duì)第三方 Cookie 的終結(jié)有何看法，您都必須認(rèn)真思考這一變化對(duì)您的應(yīng)用程序和項(xiàng)目意味著什么。當(dāng)?shù)谌?Cookie 消失時(shí)，某些用例將不再可能實(shí)現(xiàn)，您需要找到解決方案。

平衡隱私和個(gè)性化

谷歌表示，隱私是其計(jì)劃停止在 Chrome 中支持第三方 Cookie 的主要驅(qū)動(dòng)力。如果沒有第三方 Cookie，個(gè)性化的再營(yíng)銷將無法實(shí)現(xiàn)。

如果第三方 Cookie 的終結(jié)按預(yù)期進(jìn)行，我期待著不再看到煩人的彈出窗口，不再被在線跟蹤，不再被投放我不希望看到的廣告。然而，鑒于谷歌和其他許多公司依賴第三方 Cookie 來賺取數(shù)十億美元，第三方 Cookie 不會(huì)在沒有替代品的情況下消失。

在逐步淘汰第三方 Cookie 的同時(shí)，谷歌也在同時(shí)投資隱私沙盒，該沙盒旨在為任何需要為其業(yè)務(wù)提供內(nèi)容和廣告的人提供保護(hù)隱私的替代方案。隱私沙盒 API 將允許 Chrome 和任何采用它們的瀏覽器代表其設(shè)備在本地采取行動(dòng)，以保護(hù)用戶在瀏覽時(shí)的身份信息。例如，主題 API 允許基于興趣的廣告，而無需跟蹤單個(gè)用戶訪問的網(wǎng)站。

隨著隱私沙盒的不斷普及，開發(fā)者在創(chuàng)建應(yīng)用程序和網(wǎng)站時(shí)將有一套新的網(wǎng)絡(luò)標(biāo)準(zhǔn)需要遵守。這些標(biāo)準(zhǔn)將確保隱私，同時(shí)保持一定程度的個(gè)性化。

為用戶安全設(shè)定新標(biāo)準(zhǔn)

幾十年來，cookie 向開發(fā)者允許了采用劣質(zhì)安全實(shí)踐進(jìn)行用戶驗(yàn)證和追蹤。第三方 cookie 是可用的，并且他們可以存儲(chǔ)用戶身份驗(yàn)證信息和詳細(xì)信息。然而，因?yàn)檫@些是第三方 cookie，任何人都不能控制誰能夠使用或訪問其中數(shù)據(jù)。

第三方 cookie 的潛在末日將帶來安全改進(jìn)，要求開發(fā)者們重新思考他們的以往方法，并采用新方式來安全地處理用戶身份驗(yàn)證和身份信息?？梢詫⒌谌?cookie 消除當(dāng)作一個(gè)強(qiáng)制功能，用于更加安全地存儲(chǔ)那些信息，比如伴隨 HTTPOnly 和安全 Cookie。

如果您依賴第三方 cookie，您將需要找到一種保護(hù)隱私的身份驗(yàn)證和識(shí)別方法。一個(gè)潛在的解決方案是 FedCM API，它被設(shè)計(jì)為讓身份提供者在網(wǎng)絡(luò)上提供身份聯(lián)合服務(wù)，無需第三方 cookie 和重定向。FedCM API 能夠進(jìn)行聯(lián)合身份驗(yàn)證，以進(jìn)行諸如注冊(cè)或登錄之類的活動(dòng)。

重新定義開發(fā)者體驗(yàn)第三方

Cookie 即將走到盡頭，這是修正多年來在你構(gòu)建應(yīng)用和網(wǎng)站時(shí)可能遵循的錯(cuò)誤或不良做法的一個(gè)契機(jī)。它本應(yīng)讓你的應(yīng)用和網(wǎng)站變得更加私密和安全，但這也是一次反思的機(jī)會(huì)，思考你究竟需要在多大程度上控制應(yīng)用或網(wǎng)站的方方面面。

在進(jìn)入無 Cookie 時(shí)代之際，你希望在跟進(jìn)這些方面變化上花費(fèi)多少時(shí)間？你可能希望將這方面的一些工作外包出去，這樣一來你就不必成為 Cookie 領(lǐng)域的專家，而可以擁有一個(gè)專門的工具來跟蹤每個(gè)變化和更新。

對(duì)你的應(yīng)用程序和網(wǎng)站使用第三方 Cookie 的情況進(jìn)行徹底審計(jì)，并為這些場(chǎng)景制定解決方案。對(duì)于你自行構(gòu)建的每個(gè)使用第三方 Cookie 的流程，制定一個(gè)游戲計(jì)劃，確定你將繼續(xù)自行構(gòu)建還是采用第三方提供商。

一種解決方案是減少第三方 Cookie 的使用，并在諸如身份驗(yàn)證等無法減少的領(lǐng)域采用會(huì)話 ID 等其他機(jī)制。我懷疑許多開發(fā)人員會(huì)從第三方 Cookie 轉(zhuǎn)向第一方 Cookie，這可能會(huì)推動(dòng)其他實(shí)現(xiàn)更改，例如使用自定義域或配置文件數(shù)據(jù)庫(kù)。如果你已采用供應(yīng)商來處理第三方 Cookie，請(qǐng)檢查他們是否支持遷移到第一方 Cookie