Google Chromes SameSite Update: Marketer fürchten Bedrohung für Third Party Cookies

Ein Update, das Google für den Browser Chrome geplant hat, sorgt derzeit für Unsicherheit bei Webmastern und Advertisern. Das Update für das SameSite-Attribut tritt am 4. Februar 2020 inkraft und fordert von Websitebetreibern eine Überarbeitung ihrer Cookie-Einstellungen. Wer seine SameSite-Attribute nicht umstellt, läuft Gefahr Cookies nicht mehr als Third Party Cookies für das Tracking über verschiedene Seiten hinweg nutzen zu können.

Default-Einstellungen beim SameSite-Attribut werden geändert

Bereits im Oktober kündigte Google auf dem Chromium-Blog an, dass es ab der Version 80 des Chrome Browsers Änderungen für die Voreinstellungen des SameSite-Attributs geben wird. Mit dem SameSite-Attribut können Webmaster festlegen, ob ein Cookie auf den First-Party-Kontext reduziert wird oder auch für das Tracking auf anderen Websites genutzt werden kann.

Es gibt drei Optionen, um das SameSite-Attribut zu definieren und das Verhalten von Cookies zu bestimmen:

• „SameSite=Strict“
• „SameSite=Lax“
• „SameSite=None“

Zunächst ist es möglich, „SameSite=Strict“ einzustellen. Hierbei wird der Cookie nur im First-Party-Kontext gesendet. Also nur, wenn die Seite für den Cookie mit der URL im Browser übereinstimmt. Bei dieser Angabe werden Cookies auch dann nicht gesendet, wenn ein Publisher verschiedene Domains besitzt und zwischen ihnen Informationen geteilt werden sollen. Folgt ein User einem Link von einer andere Seite oder aus einer E-Mail, wird der Cookie allerdings ebenfalls nicht gesendet.

Eine andere Option ist die Einstellung „SameSite=Lax“. Auch diese Einstellung ermöglicht keine Third-Party-Cookie-Auslesung, allerdings die Top-Level-Verwendung im Kontext einer Domain. Und: Wenn beispielsweise ein anderer Blog deinen Content verlinkt, wird der Cookie etwa beim Klick auf ein Bild auf dem Blog nicht gesendet. Aber sobald der User auf deinen Content geleitet wird, wird der Cookie gesendet. Der Web.dev-Blog gibt ein Beispiel:

Hier würde der Cookie nicht beim Bild (cat.png), aber beim Link zum Artikel (cat.html) gesendet werden.

Diese Einstellung wird ab dem 4. Februar zum Standard in Chrome, wenn es keine abweichenden Angaben gibt. Wer seine Cookies aber für das Tracking auf anderen Seiten nutzen möchte, muss nun andere Voraussetzungen erfüllen.

„SameSite=None“ muss eingestellt werden, um Cross Site Tracking zu ermöglichen

Die dritte Option für Cookie-Attribute im SameSite-Kontext war bisher, den Wert einfach nicht zu spezifizieren. Damit wurde klar gemacht, dass der Cookie auf allen Seiten gesendet werden darf. Ab Chrome 80 muss jedoch das Attribut „SameSite=None“ gesetzt werden, um diesen Effekt aufrechtzuerhalten. Dabei braucht es hierzu auch eine Markierung als „sicher“, sodass nur HTTPS-Websites mit dem Attribut arbeiten können. Das heißt, dass Webmaster diesbezüglich nun aktiv werden müssen, statt passiv auf eine Spezifizierung zu verzichten. Denn Cookies ohne SameSite-Attribut werden künftig bei Chrome einfach als „SameSite=Lax“ erkannt. Versäumen die Webmaster eine Anpassung, werden viele Third Party Cookies als solche nicht mehr funktionieren – und das kann das Werbegeschäft mächtig beeinträchtigen.

Diese Implementierungen werden von Firefox oder Edge ebenfalls unterstützt, im Test oder in künftigen Versionen. Allerdings sind einige ältere Browser-Versionen von Chrome, Safari oder UC nicht mit dem Attribut „SameSite=None“ kompatibel. Ist das der Fall, werden Cookies womöglich sogar ignoriert oder als First Party Cookie erkannt.

Google setzt auf diese Änderung, um den Datenschutz voranzutreiben und das Tracking über Third Party Cookies mehr ins Bewusstsein der Webmaster – und auch User – zu setzen:

In order to move the web ecosystem to a more healthy place, we are changing the default behavior for when SameSite is not specified to automatically default to a more secure option rather than a less secure option,

erklärte ein Sprecher gegenüber Digiday.

Was die Werbebranche befürchtet

Gerade für das datenbasierte Marketing sind die Browser-Änderungen eine Bedrohung. Denn die meisten Daten werden über das Tracking mit Third Party Cookies ermittelt und durch das Update eingeschränkt. . Immerhin könnten Datenverluste entstehen, die auch erhebliche Umsatzeinbußen mit sich bringen. Allerdings gilt es für die betroffenen Webmaster zunächst vor allem, sich der Änderungen und Anforderungen bewusst zu sein. Dann lassen sich solche Einbußen vorerst abwenden.

So müssen Agenturen, Netzwerke, ja Webmaster allgemein sich auf Chromes Vorgaben – und die aller relevanten Browser – einstellen. Und vielleicht hat diese noch gar nicht jeder auf dem Schirm.

Was zunächst getan werden sollte

Wichtig ist nun, dass Seiten, wenn noch nicht geschehen, auf HTTPS migriert werden. Außerdem kann über chrome://flags/ geprüft werden, ob es Probleme gibt, wenn die Optionen #same-site-by-default-cookies und #cookies-without-same-site-must-be-secure aktiviert werden. Zudem sollten die Webmaster darauf achten, ob Cookies, die von Dritten (Adtechs etwa) auf der Seite gesetzt werden, entsprechend markiert wurden.

Mit der klareren Unterscheidung der Cookies sollten vor allem User besser differenzieren können, welche Cookies sie beibehalten oder entfernen möchten. Sie könnten seitenbezogene Cookies für Logins oder Präferenzen behalten, während sie Third Party Cookies für Werbezwecke ausstellen. Für die Webmaster wird mit diesen Möglichkeiten für User aber der Aufwand deutlich größer. Ob die Änderungen mit diesem Chrome Update bereits ein Hinweis darauf sind, dass sich auch Google Chrome – wie Safari und Firefox – künftig immer mehr in Richtung Web ohne Third Party Cookies bewegt, darf zumindest bezweifelt werden. Immerhin ist das Werbegeschäft für das Unternehmen immens wichtig und der eigene Browser ist – trotz weniger deutlichen Privatsphärevorkehrungen – als bei der Konkurrenz klarer Weltmarktführer.

Alle wichtigen Infos zum Attribut SameSite findet ihr beim Web.dev-Blog.