Alles zur Chrome SameSite Cookie Änderung

Google hatte sich seit dem Launch von Chrome zum Ziel gesetzt, den Browser schnell, einfach, stabil und sicher zu halten. Aus diesem Grund hat Google bereits am 7. Mai 2019 auf der Entwicklerkonferenz I/O angekündigt, seinen Browser in Punkto Datenschutz anzupassen – vor allem dahingehend wie Cookies verwendet werden. Lesen Sie in diesem Kapitel welche Auswirkungen das neue SameSite Attribut auf das Tracking hat.

Cookies und das SameSite Attribut

Cookies werden bekanntlich für verschiedene Zwecke eingesetzt. Allerdings sehen für Browser die unterschiedlichen Arten von Cookies im Normalfall gleich aus. Das macht es auch schwierig zu erkennen, wie und wofür die einzelnen Cookies verwendet werden. Löschen Nutzer nun alle Cookies, werden alle Online-Einstellungen wie z.B. automatisch ausgefüllte Formulardaten zurückgesetzt. Wenn es um Datensicherheit geht, sind also starre Lösungen, die generell alle Cookies blockieren nicht die Lösung weil sie die User Experience erheblich beeinträchtigen.

Hier soll das SameSite-Attribut Abhilfe schaffen. Damit wird definiert, welche Cookies über Webseiten hinweg ausgelesen werden können, und bei welchen dies nicht möglich sein soll. Das soll Nutzern mehr Kontrolle über die Verwendung ihrer Daten geben und zugleich vor Cross-Site-Injection-Angriffen schützen.

„In den kommenden Monaten wird Chrome von Entwicklern verlangen, dass sie diesen Mechanismus verwenden, um das SameSite Attribut auch bei ihren eigenen Cookies zu definieren. Diese Änderung ermöglicht es dann den Benutzern, nur bestimmte Cookies zu löschen, abhängig von ihrer Verwendungsart. Dadurch können zum Beispiel Cookies welche Website übergreifend ausgelesen werden gelöscht werden, und gleichzeitig Cookies welche für die Benutzeranmeldungen und -einstellungen verwendet werden behalten werden. Darüber hinaus können Browser klare Informationen darüber bereitstellen, auf welchen Websites diese Cookies gesetzt werden, sodass Benutzer fundierte Entscheidungen darüber treffen können, wie ihre Daten verwendet werden.” Chromium Blog.

Änderungen betreffend “SameSite Attribut”

  1. Cookies with SameSite by default
    Seit Chrome 76 (erschienen am 30 Juli) kann dieses Feature durch ein Flag aktiviert werden, um es zu testen.
    Ab Chrome 80 (geplanter Release am 4 Februar 2020) wird dieses Feature automatisch aktiviert.
  2. Reject insecure SameSite=None cookies
    Seit Chrome 76 (erschienen am 30 Juli) kann dieses Feature durch ein Flag aktiviert werden, um es zu testen.
    Ab Chrome 80 (geplanter Release am 4 Februar 2020) wird dieses Feature automatisch aktiviert.

Kurz-Info: Chrome Flags
Mittels Chrome Flags können neue Chrome Features lokal getestet werden. Aufgerufen werden sie in der Adresszeile mit “chrome://flags”

Änderung 1 – Cookies with SameSite by default

Das neue Cookie Attribut “SameSite” kann in Chrome drei verschiedene Werte annehmen:

  • None
    Wenn dieser Wert nicht gesetzt ist, verhält sich das Cookie weiterhin als klassisches 3rd-Party-Cookie
    Zum Beispiel werden die Cookies welche Google selbst innerhalb seines Werbenetzwerkes einsetzt, vermutlich mit SameSite=None gekennzeichnet sein.
  • Strict
    In diesem Fall kann der Browser das Cookie nur lesen, wenn ein 1st-Party-Kontext besteht, dies bedeutet, dass ein Cookie gesetzt auf https://www.e-dialog.at mit SameSite=Strict auch nur auf der Adresse https://www.e-dialog.at ausgelesen werden kann,
    Wenn der Nutzer jedoch durch Link von einer anderen Seite oder E-Mail auf der Website landet, dann wird bei diesem initialen Seitenaufruf ein Cookie mit SameSite=Strict nicht ausgelesen.
    Einsetzbar ist es etwa für Cookies bzgl. Passwort ändern oder online Käufe
  • Lax
    Cookies mit SameSite=Lax verhalten sich wie Strict-Cookies, mit dem Unterschied, dass auch beim initialen Seitenaufruf das Cookie ausgelesen wird, wenn der Nutzer über einen Link auf die Seite gelangt.

Wenn bis zur Version 80 dieses Attribut nicht selbstständig auf None oder Strict bei den Cookies gesetzt wird, dann wird es standardmäßig von Chrome auf Lax gesetzt.

Detailinfos auf Chromestatus.com: Cookies with SameSite by default

Änderung 2 – Reject insecure SameSite=None cookies

Um die Sicherheit zu erhöhen, gibt es eine weitere Änderung. Mit dieser Änderung können ab Chrome Version 80, nur noch Cookies mit SameSite=None und dem gesetzten Secure Flag in den Browser geschrieben werden. Cookies mit SameSite=None ohne dem Secure Flag werden abgelehnt.

Mit dem Secure Flag wird bestimmt, dass ein Cookie nur über eine sichere HTTPS Verbindung gesendet wird.

Detailinfos auf Chromestatus.com: Reject insecure SameSite=None cookies

Was ist nun zu tun?

Änderung Tracking und Marketing Tags

  • Von Google (Google Analytics, Floodlight, Google Ads etc.)
    Google wird ggf. Änderungen bei ihren Cookies selbst umsetzen
  • Von anderen Anbietern (Facebook etc.)
    Die Verantwortung liegt hier bei den Anbietern ggf. auch ihre Cookies anzupassen
    nichts desto trotz sollten Sie sich von ihren Digital Partners bestätigen lassen, dass diese die notwendigen Änderungen umsetzen

Änderungen auf der eigenen Website

Hier müssen die eigenen Entwickler die durch die Seite selbst gesetzten Cookies prüfen und ggf. anpassen.

Dabei stellt Google folgende Checkliste zur Verfügung:

  • Cookies welche nur von der selben Domain ausgelesen werden → keine Änderung notwendig
  • Cookies welche nur Domain-übergreifend ausgelesen werden → SameSite=None und Secure setzen
  • Cookies welche von der selben Domain und Domain-übergreifend ausgelesen werden → SameSite=None und Secure setzen
    Jedoch wird in Hinblick auf Langfristigkeit empfohlen solche Cookies aufzutrennen und Cookies zum Auslesen auf der selben Domain und Cookies zum Domain-übergreifenden Austausch zu implementieren.

Sie haben Fragen zur Umstellung auf die Chrome SameSite Cookie Änderung? Kontaktieren Sie uns gerne! Kontakt

Hinterlassen Sie einen Kommentar: