Ein Update, das Google für den Browser Chrome geplant hat, sorgt derzeit für Unsicherheit bei Webmastern und Advertisern. Das Update für das SameSite-Attribut tritt am 4. Februar 2020 inkraft und fordert von Websitebetreibern eine Überarbeitung ihrer Cookie-Einstellungen. Wer seine SameSite-Attribute nicht umstellt, läuft Gefahr Cookies nicht mehr als Third Party Cookies für das Tracking über verschiedene Seiten hinweg nutzen zu können.

Bereits im Oktober kündigte Google auf dem Chromium-Blog an, dass es ab der Version 80 des Chrome Browsers Änderungen für die Voreinstellungen des SameSite-Attributs geben wird. Mit dem SameSite-Attribut können Webmaster festlegen, ob ein Cookie auf den First-Party-Kontext reduziert wird oder auch für das Tracking auf anderen Websites genutzt werden kann.

Es gibt drei Optionen, um das SameSite-Attribut zu definieren und das Verhalten von Cookies zu bestimmen:

Zunächst ist es möglich, „SameSite=Strict“ einzustellen. Hierbei wird der Cookie nur im First-Party-Kontext gesendet. Also nur, wenn die Seite für den Cookie mit der URL im Browser übereinstimmt. Bei dieser Angabe werden Cookies auch dann nicht gesendet, wenn ein Publisher verschiedene Domains besitzt und zwischen ihnen Informationen geteilt werden sollen. Folgt ein User einem Link von einer andere Seite oder aus einer E-Mail, wird der Cookie allerdings ebenfalls nicht gesendet.

Eine andere Option ist die Einstellung „SameSite=Lax“. Auch diese Einstellung ermöglicht keine Third-Party-Cookie-Auslesung, allerdings die Top-Level-Verwendung im Kontext einer Domain. Und: Wenn beispielsweise ein anderer Blog deinen Content verlinkt, wird der Cookie etwa beim Klick auf ein Bild auf dem Blog nicht gesendet. Aber sobald der User auf deinen Content geleitet wird, wird der Cookie gesendet. Der Web.dev-Blog gibt ein Beispiel:

Hier würde der Cookie nicht beim Bild (cat.png), aber beim Link zum Artikel (cat.html) gesendet werden.

Diese Einstellung wird ab dem 4. Februar zum Standard in Chrome, wenn es keine abweichenden Angaben gibt. Wer seine Cookies aber für das Tracking auf anderen Seiten nutzen möchte, muss nun andere Voraussetzungen erfüllen.

Die dritte Option für Cookie-Attribute im SameSite-Kontext war bisher, den Wert einfach nicht zu spezifizieren. Damit wurde klar gemacht, dass der Cookie auf allen Seiten gesendet werden darf. Ab Chrome 80 muss jedoch das Attribut „SameSite=None“ gesetzt werden, um diesen Effekt aufrechtzuerhalten. Dabei braucht es hierzu auch eine Markierung als „sicher“, sodass nur HTTPS-Websites mit dem Attribut arbeiten können. Das heißt, dass Webmaster diesbezüglich nun aktiv werden müssen, statt passiv auf eine Spezifizierung zu verzichten. Denn Cookies ohne SameSite-Attribut werden künftig bei Chrome einfach als „SameSite=Lax“ erkannt. Versäumen die Webmaster eine Anpassung, werden viele Third Party Cookies als solche nicht mehr funktionieren – und das kann das Werbegeschäft mächtig beeinträchtigen.

Diese Implementierungen werden von Firefox oder Edge ebenfalls unterstützt, im Test oder in künftigen Versionen. Allerdings sind einige ältere Browser-Versionen von Chrome, Safari oder UC nicht mit dem Attribut „SameSite=None“ kompatibel. Ist das der Fall, werden Cookies womöglich sogar ignoriert oder als First Party Cookie erkannt.

Google setzt auf diese Änderung, um den Datenschutz voranzutreiben und das Tracking über Third Party Cookies mehr ins Bewusstsein der Webmaster – und auch User – zu setzen:

In order to move the web ecosystem to a more healthy place, we are changing the default behavior for when SameSite is not specified to automatically default to a more secure option rather than a less secure option,