Samesite Cookies: toda la verdad

Quizá ya hayas oído hablar de ellas o quizá estés a punto de hacerlo, pero lo que está claro es que las Samesite Cookies han venido para quedarse. ¿No sabes lo que son? ¿No acabas de entender por qué son importantes? No te preocupes, en este post vamos a intentar aclarar todas esas dudas que pueden surgir con estas galletas con nombre horrible (¿samesite? ¿De verdad, Google?)

samesite-cookies

Este debe ser el aspecto que creen que tienen las cookies en Google

Pues bien, empecemos por el principio. ¿Qué son las cookies? Son una especie de cajón donde el navegador puede almacenar información sobre un usuario. Se han utilizado durante años y al final se han dado cuenta de que quizá se almacenaba DEMASIADA información del usuario. Por tanto, muchos de los navegadores principales (Safari, Firefox…) ya han puesto en marcha medidas para restringir la información que se puede guardar. Chrome todavía no había tomado ninguna medida fuerte con la que equipararse a sus compañeros… hasta este año. Así llegamos a nuestro tema de hoy, las Samesite Cookies.

Pero, ¿qué son exactamente las Samesite Cookies?

Pues realmente no son nada. Es decir, no existen como una entidad propia, sino que son el nombre que Google ha puesto a una propiedad de las cookies que puede estar o no “activada” en el rastreo que Chrome realiza a los usuarios a través de, esta vez sí, las cookies que hemos explicado más arriba.

Y, ¿por qué es importante esta nueva propiedad que ha implementado google? Hay varias razones, pero la principal es porque si una cookie de terceros que implementes en tu web no tiene los parámetros como debe tenerlos Chrome pasará a bloquear esa cookie, no registrando ninguna información sobre ese usuario.

Muy genérico todo hasta el momento, ¿verdad? Era para poneros en situación, pero buceemos un poco más en el asunto. Desde el día 14 de julio, la implementación de las samesite cookies por parte de Chrome se hizo efectiva, creando una ola de consternación entre todos aquellos que practicamos el marketing digital. Aquí se puede consultar todo el proceso que ha seguido esta implementación: https://www.chromium.org/updates/same-site

¿Cuál es el gran problema que encontramos con este nuevo proceso? Como os he comentado antes, el gran gran problema viene con la prohibición de las cookies de terceros a no ser que se especifique el método correcto de recolección de las mismas. Y para entender cuál es ese correcto método de recolección debemos entender tres puntos principales:

First party cookies vs third party cookies

Las first-party son aquellas que coinciden con el dominio del sitio, esto es, la URL que se muestra en la barra de direcciones. Todas aquellas cookies que provengan de una dirección diferente a esa que podemos observar en la barra de direcciones las identificamos como third-party. Es decir, un pixel de Facebook en una página con la url www.example.com se consideraría una third-party cookie. Sin la correcta implementación, se bloquearía.

Atributo Samesite

Este atributo es el que nos permitirá declarar si tu cookie debe estar restringida a un contexto de first-party o same-site. Hay tres formas de controlar el comportamiento de la cookie: strict, lax o none.

  • Strict: tu cookie sólo se enviará en un contexto de first-party. Cuando un usuario esté en tu web la cookie enviará la petición tal y como se espera de ella. Sin embargo, cuando siga un link que esté dentro de tu web (a otro sitio, al botón de llamar a un iframe…) la cookie inicial no será enviada.
  • Lax: este atributo te permite recoger las cookies de otras first-party cookies (es decir, cookies de un sitio referral, por ejemplo), pero sigue sin permitirte el almacenar third-party cookies.
  • None: este es el atributo que más nos interesa. Comunicas específicamente que quiere que la cookie se envíe en un contexto de third-party. Esta es la única opción posible para recoger información de ads, social media, remarketing y toda esa clase de pixels que solemos implementar.
samesite-cookies-explained

Source: https://web.dev/samesite-cookies-explained/

El caso de las samesite cookies en Hubspot

Para ilustrar todo esto un poco mejor, vamos a poner un caso práctico con uno de los proveedores de servicios de marketing digital más importantes del mundo. Exponer este caso no es trivial para nosotros ya que, por un lado se trata de uno de nuestras herramientas diarias y, además, contiene dos de los principales problemas que nos podemos encontrar:

  1. Hubspot Cookies: ahora mismo, Hubspot está aplicando la configuración Lax a sus propias cookies. Gracias a lo que hemos aprendido más arriba, podemos concluir que: el código de tracking de Hubspot va a seguir funcionando tal y como lo ha hecho hasta ahora y será capaz de almacenar la misma información de los usuarios como solía hacer. PERO esto sólo es cierto para la información referida al ecosistema de Hubspot, por lo que no nos queda mucho más que hacer aquí (Hubspot debe ser el que realice los cambios en la configuración de sus cookies para que podamos obtener el atributo None).
  2. Non-Hubspot Cookies: esto significa que todas las cookies que se consideren parte del contexto third-party (ads, social media, remarketing, etc) no serán recogidas A NO SER que se creen las campañas a través de la herramienta de Hubspot habilitada para este fin. Esto le diría al navegador que se trata de first-party cookies de otro sitio, algo a lo que la configuración Lax daría su visto bueno.

En definitiva, dependemos mucho de que los proveedores de los propios servicios marquen sus cookies como secure;None para seguir almacenando datos de una manera similar a lo que estábamos haciendo hasta ahora, cosa que yo, subjetivamente, espero que hagan. Por supuesto, tened en cuenta que en este artículo hemos visto la punta del iceberg de lo que pueden suponer las Samesite Cookies y sin duda las casuísticas serán muy muy variadas, por lo que recomiendo que ante cualquier duda lea atentamente de nuevo este post y consulte a su desarrollador.

LEE TAMBIÉN ESTOS ARTÍCULOS

Leave a Comment