SameSite Cookie Update in 2020
„Warum Ihnen Cookies ohne SameSite Attribut nicht „lax“ sein sollten!“
Denn mit der Einführung des Chrome Browsers 80 am 04. Februar 2020, bekommt das SameSite Attribut eine bedeutende Rolle zugewiesen. Die folgenden Wochen und Monate werden zeigen, wie stark sich die Folgen bei Affiliates, Online Marketern & Shopbetreibern auswirken werden.
Was tun wenn Google Drittanbieter Cookies ohne SameSite Attribute blockiert?
Cookies sollen im Chrome 80 Update, das für Februar 2020 geplant ist, einer „secure-by-default“ Richtlinie unterliegen. Dieses Model wird von einer veränderten Methodik für die Klassifizierung von Drittanbieter Cookies angetrieben und ist ein proaktiver Schritt um die Sicherheit und Privatsphäre der Nutzer im Internet zu verbessern. Andere Browser wie Firefox und Edge haben ähnliche Schritte in der Planung. Was bedeutet das für Webseitenbetreiber und Werbetreibende?
Was sind Drittanbieter Cookies?
Jedes Cookie ist einer spezifischen Domain zugeordnet. First-Party Cookies sind die Cookies die beim Besuch einer Webseite von dieser selbst erstellt werden. Damit Web-Dienste wie Werbeanzeigen, der Like Button oder Google Analytics einwandfrei funktionieren, werden hierfür spezielle Cookies von Drittanbietern (Third Party Cookies) benötigt. Diese werden bei einem Webseitenbesuch über den Browser gesetzt sofern eine entsprechende Einbindung (z.B. Werbeanzeige oder Google Analytics Code) vorhanden ist. Diese Cookies werden als Drittanbieter-Cookies (engl. Third Party Cookies) eingestuft. Weniger offensichtliche Einstufungen für Drittanbieter Cookies können bei Diensten auftauchen, die mehrere Webseiten betreiben oder mit Subdomains arbeiten, jedoch nur einen Cookie (=Cross Domain Cookie) dafür benutzen.
Beim Surfen durch das Internet und dem Besuchen verschiedener Webseiten, werden die Drittanbieter Cookies jedes Mal vom Browser an die besuchte Webseite mit ausgeliefert. Dadurch kann dem Nutzer ein personalisiertes Erlebnis geliefert bekommen. “Woher weiß denn die Webeanzeige, dass ich nach etwas Bestimmten gesucht habe?” hat als einfache Antwort: durch das 3rd Party Cookie das im Zuge einer Suche nach etwas Bestimmten beim Besuch einer passenden Webseite gesetzt wurde.
Was ist das “SameSiteAttribute” und was ist neu?
Google hat bereits Ende 2019 vor einer Änderung in der Handhabung von Cookies gewarnt. Als Cookies vor etwa 20 Jahren entworfen wurden und ebenfalls als dieses Design überdacht wurde in 2011 in RFC 6265 (=Request For Comments – viele RFCs stehen für Internetstandards und bilden grundsätzlich die technische Grundlage für viele Internetanwendungen), waren übermäßiges Tracking und Website-übergreifende Anfragenfälschung noch kein Problem.
Die Methodik zur Klassifizierung von Drittanbieter Cookies unterscheidet verschiedene Klassen von Drittanbieter Cookies: „Strict”, „Lax“ „none“ oder „omitted”. Diese Klassen kontrollieren was passiert, wenn der Browser Inhalte von einer externen URL anfragt, die von der aktuell besuchten Domain abweicht.
Die verschiedenen Klassen des SameSite Attributs:
- „Strict“
- Keine Cookies werden zur externen Seite geschickt; das Cookie gilt nur auf und für die ausgestellten Domäne
- „Lax“
- Keine Cookies werden zur externen Seite geschickt, außer es wird ein Link zur externen URL geklickt
- „None“
- Drittanbieter Cookies werden immer gesendet
- “Omitted”
- Bedeutet übersetzt “weggelassen”. Hierbei wird keinerlei Ausszeichnung vorgenommen, der Browser setzt das SameSite Attribut dann auf den Default. Dieser Standard kann variieren von “Lax” bei Google Chrome bis “Strict” bei Safari
Das „SameSite“- Attribute soll Nutzer vor Website-übergreifendener Anfragenfälschung (CSRF = Cross Site Request Forgery) schützen. Diese Art von Angriff kommt vor wenn ein Nutzer auf Seite A eingeloggt ist und ein Skript auf Seite B den Nutzer imitiert. Seite B stellt hier eine Anfrage für eine Übermittlung des Session Cookies an Seite A.
Falls das Attribut vom Seitenbetreiber nicht gesetzt wird, behandelt Chrome die Cookies in Zukunft automatisch als „Lax“. Cookies die als SameSite=None klassifiziert werden, benötigen noch zusätzlich ein Secure-Attribut und eine verschlüsselte Verbindung (SSL) um seitenübergreifend zu funktionieren.
Was bedeutet diese Umstellung für die Funktionalität meiner Webseite, der Online Marketing Kampagnen und Tracking-Daten?
Cookies ohne SameSite Attribute werden als „Lax” klassifiziert. Das bedeutet diese Cookies werden in Zukunft nicht oder nur noch auf Anfrage verschickt. Eine verschlüsselte Verbindung mit Sicherheitszertifikat wird ebenfalls zur Grundvoraussetzung für eine ordentliche Funktionsweise von Drittanbieter-Cookies.
Google warnt, dass diese Änderung einige Features wie zum Beispiel Single Sign-on für Business Applications beeinträchtigen kann.
Der Einfluss des Chrome 80 Updates auf Tracking und Werbekampagnen sollte minimal sein, solange das richtige Attribut gesetzt wird. Nutzer können zwar in den Browser-Einstellungen manuell alle Drittanbieter-Cookies deaktivieren, jedoch warnt Google dabei vor Funktionalitätsstörungen.
Die Liste von verwendeten und insbesondere blockierten Cookies kann im Chrome Browser eingesehen werden durch einen Klick auf das Vorhängeschloss-Symbol neben der URL. In unserem Beispiel wurden zuvor Drittanbieter-Cookies in den Einstellungen blockiert.
In unserem Beispiel ist sichtbar, dass nach dem Blockieren von Drittanbieter-Cookies Facebook und Google Dienste blockiert werden.
Mozilla Firefox geht bereits strenger mit Tracking Cookies um. In Zukunft sollen Drittanbieter-Cookies von Tracking-Seiten grundsätzlich blockiert werden. Mozilla definiert Tracking hier als „Collection AND retention“ von Daten. Eine vollständige Liste der blockierten Seiten finden Sie hier.
Sobald alle Cookies über das SameSite-Attribut klassifiziert werden, könnten die verschiedenen Browser Nutzern Optionen bieten, Cookies zu unterscheiden und ggf. einzeln zu blockieren. Änderungen mit einem negativen Einfluss auf Ad- und Trackingkampagnen sind allerdings wohl zunächst in anderen Browsern als Chrome zu erwarten. Google hat signifikante Einkünfte aus Werbung und wird versuchen, seine Investitionen in die Personalisierung und das Web-Ecosystem zu schützen.
Browsernutzung in Deutschland: Welche Browser unterstützen das SameSite Cookie Attribut
Gewissermaßen zwang das Update auf die Chrome Browser Version 80 Webmaster & Online Shop Betreiber zum Einrichten des SameSite-Attributs. Dies birgt eine gewisse Problematik, da nicht alle Browser “SameSite=None” genauso wie Chrome interpretieren.
Der Safari Browser beispielsweise unterstützt die “None”-Auszeichnung nicht und interpretiert diese als “Strict”, würde also die Nutzung von Third-Party-Cookies unterbinden. Um eine SameSite Auszeichnung für verschiedene Browser zu setzen, reicht ein normales Plugin für die Cookie Attributs-Setzung nicht mehr aus und es müssen programmatische Lösungen geschaffen werden. Zum Beispiel eine sogenannte Browserweiche, mit der – je nach Browser – die interpretierbare Cookie Auszeichnung übertragen werden kann. So werden Verluste an Analysedaten in Google Analytics, AdWords und anderen Webtools vermieden.
Um den persönlichen Handlungsbedarf zu überprüfen, sollte jeder Betreiber einer Website oder eines Online Shops seine Projekte, z.B. mit Google Analytics, auf die Anteile der verwendeten Browser aller Besucher überprüfen.
Aktuell sind die beiden am häufigsten in Deutschland verwendeten Browser Chrome von Google mit 45% und Mozillas Firefox mit 26%.
Welche der aktuell noch von Usern verwendeten Browser und Browserversionen das SameSite-Attribut für Cookies unterstützen, zeigt die Grafik für die am häufigsten verwendeten Browser.
Alle weiteren vorhandenen Browser können auf dem Can i Use? Info-Portal eingesehen werden.
Wenn Sie Fragen zu diesem Thema haben, rufen Sie uns gerne an unter der 040 – 36 19 61 02!
