Начиная с 22-го релиза, политика Firefox в отношении cookie будет больше соответствовать предпочтениям пользователей. В этом мини-FAQ рассматриваются некоторые из вопросов, которые я получил от сторонников Mozilla, веб-разработчиков и пользователей.

Как работают новые политики Firefox в отношении cookie?

Коротко: только сайты, которые Вы действительно посещали, могут использовать cookie.

Более детально: если сайт является основным(1), ничего не изменится. Контент сторонних сайтов будет иметь разрешение на cookie, только если Вы посещали эти сайты, и они установили хотя бы одно значение в cookie.

Как выглядит новая политика Firefox по сравнению с другими основными браузерами?

Chrome — разрешает все cookies.

Internet explorer — разрешения на cookies определяются политикой P3P. На практике, почти все cookie сторонних сайтов разрешены(2).

Safari — контент основного сайта (сайта, который Вы просматриваете — прим. перев.) имеет разрешение на cookie. Контент сторонних сайтов имеет разрешение на cookie, только если Вы посещали эти сайты, и они установили хотя бы одно значение в cookie.

В общем, новая политика Firefox — это слегка упрощенная версия политик Safari(3).

Нарушит ли новая политика Firefox работу сайтов?

Побочное влияние должно быть ограниченно. Политики Safari в отношении cookie работают уже десять лет, причем и в десктопной, и в iOS версиях браузера. На некоторых сайтах могут потребоваться небольшие изменения в коде, чтобы с Firefox работать также, как и с Safari.

Для большей уверенности, команда разработчиков Mozilla, занимающаяся вопросами приватности, пристально наблюдает за работой политики до финального релиза.

Изменение будет присутствовать около шести недель в пре-альфа, альфа и бета сборках. Если Вы обнаружите какие-либо ошибки, пожалуйста, сообщите об этом в службу поддержки Mozilla!

Как я могу проверить, есть ли у моего сайта разрешения на cookie?

Легко: попробуйте установить cookie. Этот способ может продемонстрировать разрешения на cookie и серверного, и клиентского кода.

Способы, основанные на определении браузера, в основном, нежелательны, так как могут быть ненадежны и требуют постоянного обновления. К тому же, такие способы не учитывают пользователей Chrome и Internet Explorer, которые не используют политику по-умолчанию.

Я работаю со сторонним сайтом, который использует cookie. Что мне делать?

Если пользователь Firefox непосредственно взаимодействует с вашим контентом, используйте такую же тактику, как и в отношении пользователей Safari(4). Примеры такого контента — приложения и виджеты отправки комментариев в Facebook, в которых пользователь вводит текст.

Если пользователь непосредственно не взаимодействует с вашим контентом, или вы в этом заранее не уверены, вы должны запросить разрешение перед установкой cookie. Большинство аналитических сервисов, рекламных сетей, и не взаимодействующих с пользователем виджетов социальных сетей входят в эту категорию.

В общем, в некоторых случаях обход технических ограничений политик может быть обоснован, но только не в целях обхода политики конфиденциальности.

Что случится с уже существующими cookie?

Новая политика не предусматривает каких-либо условий для существующих cookie. Пользователи Firefox должны будут очистить cookie, чтобы получить эффект от новых политик.(5)

Что ждет политику Firefox в отношении cookie в будущем?

Предстоит сделать еще массу работы. Некоторые направления в которых я заинтересован:

Расширение политик в отношении cookie на другие технологии хранения данных на стороне пользователя (например, HTML5 Web Storage).

Предоставление унифицированного механизма для запроса разрешений на хранение.

Послабление политик для сайтов, которые придерживаются политики Do Not Track.

Делитесь Вашими идеями в списке рассылки mozilla.dev.privacy!

Все вышенаписанное — моя точка зрения. Я не говорю за всю организацию Mozilla.
Это был мой первый коммит в код Firefox. Выражаю огромные благодарности следующим людям: Sid Stamm, Monica Chew, Brendan Eich, Asa Dotzler, Josh Matthews, Justin Dolske, Daniel Veditz и другим членам сообщества Mozilla за их советы, наставления и терпение к моей неопытности.

Сноски:

1. Определяется как публичный суффикс +1 уровень.

2. Многие критиковали подход Microsoft за неэффективность, сложность и зависимость от де-факто устаревшего стандарта P3P. По теме — читайте искажение политик конфиденциальности сайта из-за ошибок в ключе P3P, автор Leon и др.

3. Разница, в основном, заключается в удобстве для разработчиков.

4. Наиболее приемлемый способ — перенаправлять пользователей через ваш сайт. Также Вы можете задействовать технологии хранения, не использующие cookie, хотя эта альтернатива тоже будет ограничена политикой в будущем.

5. Имеет смысл очищать cookies каждые несколько месяцев.