O Google está a menos de dois meses de instituir uma alteração de política na próxima iteração do Chrome que limitará severamente o compartilhamento de cookies entre sites, e a maioria das empresas de tecnologia de anúncios parece totalmente inconsciente.

 

A partir de 4 de fevereiro, e para coincidir com o lançamento do Chrome 80, o Google Chrome deixará de enviar cookies de terceiros em solicitações entre sites, a menos que os cookies sejam seguros e sinalizados usando um padrão da Internet chamado SameSite.

 

O Chrome anunciou seu plano de desenvolver um modelo de segurança por padrão para manipulação de cookies em maio em um evento do Google.

 

Os cookies que não são marcados proativamente de acordo com o padrão deixarão de funcionar no Chrome, e todos os dados de cookies que foram gerados antes de serem sinalizados não estarão mais acessíveis, o que significa que quanto mais cedo forem definidos, mais cedo eles poderão voltar aos trilhos.

 

"Para aqueles que não cumprirem o prazo, seus cookies de terceiros serão quebrados", disse Ratko Vidakovic, fundador da consultoria de tecnologia de anúncios AdProfs, "o que significa que tudo o que depende desses cookies será quebrado: reconhecimento de público, análise, atribuição - você escolhe".

 

Não o mesmo SameSite

 

SameSite não é novo. O conceito de um sinalizador de cookie seguro existe desde o final dos anos 90, mas nunca foi um requisito no Chrome, apenas uma prática recomendada.

 

Os requisitos do SameSite fazem parte de um lote maior de alterações focadas na segurança que o Google está fazendo para criar o que chama de "cookies incrementalmente melhores".

 

O Google disse que está ficando mais agressivo com o SameSite para impedir o compartilhamento inseguro de dados entre domínios e a falsificação de solicitações entre sites, quando hackers manipulam cookies autenticados para executar ações indesejadas, como gerar cliques falsos.

 

No curto prazo, as empresas de publicidade e editores que ainda não estão em conformidade serão obrigados a mudar para HTTPS. Caso contrário, os cookies serão descartados pelo navegador.

 

Mas há implicações potencialmente mais amplas para quem faz redirecionamento ou depende de iFrames de terceiros. "Basicamente, eles estão ferrados", disse Zach Edwards, diretor de dados da MetaX.

 

"Nos últimos 22 anos, o padrão tem sido permitir que dados, como cookies de terceiros, fluam entre domínios - é assim que toda a internet funciona", disse Edwards. "Depois de fevereiro de 2020, o padrão passa a não permitir que essa transferência ocorra no Chrome, a menos que sejam definidos sinalizadores de cookies específicos".

 

Agite a bandeira

Os desenvolvedores, ou quem é responsável por manter a base de códigos de uma empresa, agora terão que definir os atributos de cookie SameSite no Chrome com um dos três valores: estrito, frouxo ou nenhum.

 

A especificação de um cookie como "SameSite = Strict" não permite compartilhamento entre sites. Esse cookie não funcionará em nenhum outro lugar, exceto no domínio em que ele foi colocado. "SameSite = lax" é menos restritivo e permite que um site compartilhe cookies entre domínios pertencentes ao mesmo editor.

 

"SameSite = none" permite o compartilhamento completo de cookies de terceiros, desde que seja seguro.

 

Hoje, SameSite = none é o padrão no Chrome e permite que o ecossistema de tecnologia de anúncios funcione.

 

A partir de fevereiro, SameSite = Lax se tornará o padrão para desenvolvedores que não ativarem proativamente SameSite = none.

 

Enquanto empresas de tecnologia de anúncios e editores com tecnologia proprietária rotularem seus cookies como SameSite = none, nada mudará - por enquanto.

 

Mas assim que todos os cookies e pixels disparados no Chrome tiverem declarado sua finalidade, o Google saberá exatamente quais cookies estão compartilhando dados entre sites. Armado com esse conhecimento, nada além de preocupações anticoncorrenciais impede o Google de criar uma ferramenta de privacidade que permita aos usuários remover todo o rastreamento de cookies de terceiros sem excluir cookies funcionais, como senhas armazenadas.

 

"Eu não diria que isso coloca o Chrome no território do Firefox ou Safari, por isso não é o cookie Armageddon, mas estabelece as bases para algo que está em pé de igualdade", disse Dan Larden, sócio-gerente de produtos e parcerias da Infectious Media. "É outro prego no caixão, mas não necessariamente o enterro."

 

Botão quente

 

Mas como seria realmente um botão "sem rastreamento de terceiros" no Chrome?

 

Não há necessidade de especular. Basta baixar o Canary, a versão de desenvolvimento do Chrome, onde o Google testa os recursos beta antes do lançamento geral; visite "chrome: // flags;" e ative o recurso experimental "removendo SameSite = nenhum cookie".

 

Em seguida, abra uma janela anônima e aparecerá uma opção chamada "Bloquear cookies de terceiros". Quando ativada, ela impedirá que a atividade de navegação em sites diferentes seja usada para personalizar anúncios.

 

Se o Chrome ativar esse recurso para seus usuários, eles terão uma maneira fácil de desativar o rastreamento entre sites.

 

"Não ficaria surpreso se você pudesse ativar e desativar o rastreamento no Chrome até, talvez, 2021", disse Mathieu Roche, CEO e co-financiador do ID5.

 

Mas, no momento, há uma contagem regressiva para 4 de fevereiro, que é quando as empresas de tecnologia de anúncios, editores e qualquer pessoa cujo negócio envolva a queda de pixels precisarão adicionar sinalizadores SameSite em seus cookies ou correr o risco de quebrar o canto da Internet.