Das Chrome-Team arbeitet aktiv daran, das websiteübergreifende Tracking von Nutzern zu verhindern, um den Datenschutz im Web zu verbessern. Wir planen, im Laufe des Jahres Maßnahmen einzuführen, um das Tracking durch eine bestimmte Technik namens „Bounce-Tracking“ einzuschränken.
Wir gehen zwar nicht davon aus, dass viele Websites, die keine Tracking-Funktionen enthalten, durch diese Änderungen beeinträchtigt werden, möchten Entwickler aber einladen, diese neue Funktion mit Feature-Flags zu testen und Feedback zu geben.
Was ist Bounce-Tracking?
Beim Bounce-Tracking kann eine Drittanbieter-Website ein Cookie speichern, auch wenn Drittanbieter-Cookies blockiert sind. Drittanbieter-Tracking-Code auf einer Seite kann verwendet werden, um einen Nutzer zur Website eines Trackers weiterzuleiten, wo ein Cookie gesetzt werden kann, und dann zurück zur ursprünglichen Seite. Diese Weiterleitung erfolgt oft so schnell, dass Nutzer sie möglicherweise gar nicht bemerken.
Das Bounce-Tracking kann entweder als „Bounce Back“ oder als „Bounce Through“ erfolgen.
Tracking von Sprüngen zurück.
Bounce-Through-Tracking
In beiden Fällen wissen Nutzer möglicherweise nicht, dass sie tracker.example besucht haben. Möglicherweise glauben sie, dass sie nur site1.example besucht oder versucht haben, zu site2.example zu navigieren.
Was plant Chrome zu ändern?
Chrome möchte Nutzer vor Bounce-Tracking schützen, indem der Status für diese Tracking-Websites regelmäßig gelöscht wird. So funktioniert der Prozess:
- Chrome überwacht Navigationsvorgänge und kennzeichnet intern Websites, die Teil eines „Stateful Bounce“ sind. Das bedeutet, dass eine Navigation über die Website weitergeleitet wurde und dass auf den Status der Website während der Weiterleitung zugegriffen wurde. Dazu gehören sowohl vom Server initiierte Weiterleitungen als auch clientseitige Weiterleitungen, bei denen die Navigation programmatisch über JavaScript ausgelöst wird. Der Zugriff auf den Status umfasst sowohl Cookies als auch andere Arten von Speicher, z. B. „localstorage“ und „indexedDB“.
- Chrome untersucht regelmäßig die Liste der gekennzeichneten Websites und prüft, ob der Nutzer die Website in den letzten 45 Tagen aktiv genutzt hat. Diese Interaktion kann vor, während oder nach dem Erkennen der Unzustellbarkeit erfolgen.
- Wenn auf der Website keine Nutzerinteraktion stattfindet und Drittanbieter-Cookies blockiert sind, wird der Status der Website gelöscht.
Wir hoffen, dass wir diese Änderungen für Nutzer, die die Blockierung von Drittanbieter-Cookies aktiviert haben, Anfang des 3. Quartals 2023 einführen können.
Werden dadurch andere Weiterleitungsabläufe unterbrochen?
Die Prüfung der Nutzerinteraktion soll verhindern, dass Websites, die nicht zum Tracking verwendet werden, gelöscht werden, wenn sie auch einen Weiterleitungsablauf nutzen. Beispiele hierfür sind SSO, die föderierte Authentifizierung und Zahlungsabläufe. Daher gehen wir nicht davon aus, dass sich die Umstellung auf SSO, die föderierte Authentifizierung oder Zahlungsabläufe auswirkt. Die Anmeldung beim Identitätsanbieter gilt beispielsweise als Nutzerinteraktion und verhindert das Löschen.
Wie kann ich feststellen, ob meine Website betroffen ist?
Die Eindämmung von Bounce-Tracking kann ab Chrome-Version 115 (derzeit die aktuelle Canary) mit Funktions-Flags getestet werden:
- Erstellen Sie ein neues Chrome-Profil. In einem vorhandenen Profil, das Sie für die Webentwicklung verwendet haben, sind möglicherweise Interaktionen auf der Bounce-Website protokolliert, die Ihre typischen Websitebesucher nicht haben.
- Setzen Sie das Flag bei
chrome://flags/#bounce-tracking-mitigationsauf „Mit Löschung aktiviert“. - Aktivieren Sie das Blockieren von Drittanbieter-Cookies in
chrome://settings/cookies, indem Sie „Drittanbieter-Cookies blockieren“ auswählen. - Führen Sie Ihren Workflow mit Weiterleitungen aus.
- Öffnen Sie in den Chrome-Entwicklertools den Tab „Probleme“ und suchen Sie nach der Meldung „Chrome may soon delete state for intermediate websites in a recent navigation chain“ (Chrome löscht möglicherweise bald den Status für Zwischenwebsites in einer kürzlich erfolgten Navigationskette).
- Erzwingen Sie die Überprüfung auf das Löschen von Bounce-Tracking-Daten, indem Sie im Anwendungsbereich der Entwicklertools unter Hintergrunddienste auf Maßnahmen gegen Bounce-Tracking klicken und dann Ausführung erzwingen drücken. Alternativ können Sie bis zu zwei Stunden warten, bis die Löschung erfolgt.
- Führen Sie Ihren Workflow aus, bei dem der Zustand auf der Website vorhanden sein sollte.
Wenn Sie beispielsweise in Schritt 4 diese Demoseite aufrufen und den Link „bounce me“ auswählen, wird in den Entwicklertools ein Problem angezeigt:
Screenshot des DevTools-Problems.
In Schritt 6 können Sie dann mit dem Anwendungsbereich der Entwicklertools erzwingen, dass die Löschung sofort erfolgt:
Bereich „Eindämmung von Bounce-Tracking“ in den Entwicklertools.
Wenn Sie dann die Demo noch einmal aufrufen und den Bounce ausführen, sollte eine neue Kennung generiert werden, da der Status gelöscht wurde.
Anwendungsfälle in Unternehmen
Einige Unternehmen verwenden verwaltete Geräte so, dass Nutzer automatisch auf ihrer SSO-Website angemeldet werden. Da der Nutzer nicht mit der SSO-Website interagiert, kann es sein, dass Chrome die Website als Bounce-Tracker behandelt.
Um dieses Problem zu beheben, können Unternehmen Cookie-Richtlinien verwenden, um Drittanbieter-Cookies für die SSO-Website zu aktivieren. Dadurch wird verhindert, dass Eindämmungen von Bounce-Tracking für diese Website wirksam werden.
Feedback
Sie können Feedback im Chromium-Fehler-Tracker über die Komponente „Privacy>NavTracking“ geben. Feedback kann auch als W3C PrivacyCG Navigation-based Tracking Mitigations issue hinterlassen werden.