Chrome-Update 80 – Cookie-SameSite-Attribut

Am 4. Februar 2020 wollte Google den Chrome-Browser in der Version 80 ausliefern. Dieses Update sorgte in den vergangenen Wochen für reichlich Furore.

Was sich mit dem Update genau ändert und wie sich diese Änderung nun auf das Cookie-Tracking im 3rd-Party-Kontext auswirkt, soll nachfolgend erläutert werden.

GOOGLES ÄNDERUNGEN VOM 4.2.2020

Der im Nachfolgenden dargestellte zeitliche Ablauf hat sich am Tag der geplanten Auslieferung des Chrome-Updates kurzfristig geändert. Das Chrome-Update für die Version 80 wird wie geplant ab dem 4.2.2020 ausgerollt. Allerdings wird die Änderung bezüglich der SameSite- und Secureflag- Attribute erst ab dem 17.2.2020 erscheinen. Erst dann soll die Änderung in Testgruppen sukzessiv ausgerollt werden.

Die Brisanz der Thematik wird durch den neuen Zeitplan leicht relativiert. Jedoch sollte der 17.2.2020 als neue Deadline angesehen werden, da Google keine klare Aussage darüber trifft, wo, wann und in welchem Umfang ab diesem Datum das Feature ausgerollt wird. Details können diesem Link entnommen werden.

Moment, was ist denn noch mal der Unterschied zwischen den einzelnen Cookies?

Eine detaillierte Beschreibung von Cookies können Sie dem Blog-Artikel EPROFESSIONAL Cookie-Information entnehmen.

Im Kern geht es um die Unterscheidung zwischen 1st-Party-Cookies und 3rd-Party-Cookies, auf die sich das Update letztendlich auswirkt. In der Regel werden aufgrund des technisch deutlich reduzierten Aufwands für Cross-Site-Tracking 3rd-Party-Cookies verwendet. Während 1st-Party-Cookies durch den Seitenbetreiber selbst gesetzt und gelesen werden, handelt es sich bei 3rd-Party-Cookies um Cookies, die von Fremdseiten und Fremdservern gesetzt werden: Seite A setzt einen Cookie auf Seite B.

Was ändert sich?

Neben anderen technischen Änderungen liegt der Fokus des Updates auf dem SameSite-Attribut von Cookies. Genauer gesagt muss zukünftig im Chrome-Browser das Attribut bei jedem Cookie gesetzt sein. Erfolgt dies nicht, wendet der Browser automatisch einen Fallback an, wodurch dieser Cookie nicht mehr im 3rd-Party-Kontext genutzt werden kann. Zusätzlich zum SameSite-Attribut wird im 3rd-Party-Kontext die aktive Setzung des Secure-Flags vorausgesetzt. Technische Details folgen weiter unten im Text.

Welche Folgen hat das Update?

Alle Cookies, die bis zum 4.2.2020 nicht um das SameSite-Attribut ergänzt wurden, können ab diesem Zeitpunkt nicht mehr im 3rd-Party-Kontext genutzt werden. Nach wie vor agieren viele Marketing-Cookies nur im 3rd-Party-Kontext. Eine Nichtumstellung ist folglich mit dem Verlust eben jener Cookies gleichzusetzen. Außerdem können keine neuen Cookies ohne dieses Attribut gespeichert werden.

Was muss ich tun?

Sicherstellen, dass sämtliche eingesetzten Technologien/Tools auf der betroffenen Seite die Umstellung bis zum 4.2.2020 vollzogen haben. Dies ist leichter gesagt als getan, da die Einflussnahme auf die Anbietertools nahezu null ist. Entsprechend kann hier nur darauf vertraut werden, dass der jeweilige Anbieter die Umstellung rechtzeitig vollzieht. EPROFESSIONAL hat hierzu die Ansprechpartner bei den wichtigsten Anbietern kontaktiert, um die Thematik zu forcieren und eine rechtzeitige Umstellung für die Kunden zu garantieren. Auf der eigenen Seite können Sie eine Analyse über die Chrome-Entwickler-Konsole durchführen.

Wie kann ich sicher sein, dass meine Anbieter die Umstellung vollzogen haben?

Die Anbieter-Cookies können relativ einfach über die Chrome-Entwickler-Konsole (F12) überprüft werden. Ist kein SameSite-Attribut gesetzt, ist dies kein gutes Zeichen, und im Bedarfsfall sollte die fehlende Umstellung vom Anbieter bestätigt werden. Wurden die Cookies bei diesem Anbieter nicht umgestellt, kann ein einwandfreier Betrieb nicht mehr gewährleistet werden. Auch hier kann und muss der Anbieter Auskunft geben, inwieweit sich der Umstand auf die Datenerhebung und Verwertung auswirkt.

Was muss ich bei meinen eigenen Cookies umstellen?

Das SameSite-Attribut muss gesetzt werden. Für dieses Attribut können drei Ausprägungen hinterlegt werden:

  • SameSite=Strict
  • SameSite=Lax
  • SameSite=None

Strict: Wird der Cookie nur im 1st-Party-Kontext genutzt, sollte „Strict“ hinterlegt werden. Dies verhindert ein Auslesen der Cookies durch Dritte. Wichtig ist, den Unterschied zu „Lax“ zu verstehen.

Lax: „Lax“ bezieht sich hier auch auf den 1st-Party-Kontext mit dem Unterschied, dass der erstmalige Server-Request auch schon die Cookies auslesen darf. Was bedeutet das? Wenn der Nutzer nun über ein Werbemittel auf die Seite gelangt, ist die Domain der Serveranfrage nicht die der Zielseite, sondern die des Publishers. „Lax“ erlaubt in diesem Kontext das Auslesen dieses Cookies der Zielseite, wohingegen „Strict“ dies unterbindet.

None: Soll der Cookie auch weiterhin im 3rd-Party-Kontext verwendet werden können, muss „None“ als Wert beim SameSite-Attribut hinterlegt werden.

Secure-Flag: Falls der Cookie im 3rd-Party-Kontext genutzt werden soll und SameSite auf „None“ gesetzt wird, muss mit dem Update zusätzlich das Secure-Flag beim Cookie gesetzt werden. Dies bedeutet, dass der Cookie nur auf HTTPS-Seiten genutzt werden kann.

Autor: Jan Lange