Como parte dos nossos esforços para melhorar a privacidade na Web, a equipe do Chrome tem trabalhado ativamente para evitar o rastreamento entre sites de usuários. Planejamos lançar mitigações para limitar as mitigações de rastreio de uma técnica específica chamada "bounce tracking" ainda este ano.
Não esperamos que muitos sites que não fazem rastreamento sejam afetados negativamente por essas mudanças, mas convidamos os desenvolvedores a testar esse novo recurso com flags de recursos e enviar feedback.
O que é mitigações de rastreio?
As mitigações de rastreio são uma técnica que permite que um site de terceiros armazene um cookie mesmo quando os cookies de terceiros estão bloqueados. O código de acompanhamento de terceiros incluído em uma página pode ser usado para redirecionar um usuário ao site de um rastreador, onde um cookie pode ser definido e, em seguida, voltar à página original. Esse redirecionamento pode acontecer tão rápido que o usuário nem percebe.
As mitigações de rastreio podem ser feitas como um "bounce back" ou um "bounce through".
Rastreamento de retorno.
Mitigações de rastreio por redirecionamento.
Em ambos os casos, os usuários podem não saber que visitaram tracker.example. Talvez eles acreditem que só visitaram site1.example ou tentaram navegar até site2.example.
O que o Chrome planeja mudar?
O Chrome pretende proteger os usuários contra mitigações de rastreio excluindo periodicamente o estado desses sites de rastreamento. O processo vai funcionar da seguinte forma:
- O Chrome monitora as navegações e sinaliza internamente os sites que fazem parte de um "bounce com estado". Isso significa que uma navegação foi redirecionada pelo site e que o estado de acesso do site durante o redirecionamento. Isso inclui redirecionamentos iniciados pelo servidor e redirecionamentos do lado do cliente em que o JavaScript aciona uma navegação de forma programática. O acesso ao estado inclui cookies e outros tipos de armazenamento, como localStorage, indexedDB etc.
- O Chrome examina periodicamente a lista de sites sinalizados e verifica se o usuário usou o site ativamente interagindo com ele nos últimos 45 dias. Essa interação pode ocorrer antes, durante ou depois que o rejeição foi detectado.
- Se o site não tiver interação do usuário e os cookies de terceiros estiverem bloqueados, o estado será excluído.
Esperamos lançar essas mudanças para os usuários que ativaram o bloqueio de cookies de terceiros no início do terceiro trimestre de 2023.
Isso vai interromper outros fluxos de redirecionamento?
A verificação de interação do usuário tem como objetivo proteger sites que não fazem rastreamento contra exclusão em casos em que também usam um fluxo de redirecionamento. Por exemplo, o SSO, a autenticação federada e os fluxos de pagamento geralmente realizam esse tipo de interação. Por isso, não esperamos que o SSO, a autenticação federada ou os fluxos de pagamento sejam afetados. Por exemplo, o ato de fazer login no provedor de identidade conta como uma interação do usuário e impede a exclusão.
Como posso saber se meu site foi afetado?
As mitigações de rastreio por redirecionamento estão disponíveis para teste com flags de recursos na versão 115 do Chrome (atualmente a mais recente do Canary):
- Crie um novo perfil do Chrome. Um perfil que você usou para desenvolvimento da Web pode ter interações registradas no site de rejeição que os usuários típicos do seu site não têm.
- Defina a flag em
chrome://flags/#bounce-tracking-mitigationscomo "Ativada com exclusão". - Ative o bloqueio de cookies de terceiros no
chrome://settings/cookiesselecionando "Bloquear cookies de terceiros". - Execute o fluxo de trabalho que envolve redirecionamentos.
- Abra a guia "Problemas" do Chrome DevTools e procure uma mensagem intitulada "O Chrome poderá excluir em breve o estado de sites intermediários em uma cadeia de navegação recente".
- Para forçar a verificação de exclusão das mitigações de rastreio, acesse o painel "Application" das DevTools, clique em Bounce Tracking Mitigations em Background Services e pressione Force Run. Ou aguarde até duas horas para que a exclusão ocorra.
- Execute o fluxo de trabalho que espera ter o estado presente no site.
Por exemplo, se na etapa (4) você acessar esta página de demonstração e selecionar o link "bounce me", um problema do DevTools vai aparecer:
Captura de tela do problema do DevTools.
Em seguida, na etapa 6, force a exclusão imediata usando o painel "Aplicativo" do DevTools:
Painel de mitigações de rastreio por redirecionamento do DevTools.
Se você voltar à demonstração e realizar o bounce, vai notar que um novo identificador foi produzido porque o estado foi limpo.
Casos de uso corporativo
Algumas empresas usam dispositivos gerenciados de forma que os usuários façam login automaticamente no site de SSO. Como o usuário não interage com o site de SSO, isso pode fazer com que o Chrome trate o site como um rastreador de rejeição.
Para atenuar esse problema, as empresas podem usar políticas de cookies e ativar cookies de terceiros no site de SSO. Isso impede que as mitigações de rastreamento por redirecionamento entrem em vigor para esse site.
Feedback
Envie feedback no rastreador de bugs do Chromium usando o componente "Privacidade>NavTracking". O feedback também pode ser deixado como um problema de mitigação de rastreamento baseada em navegação da PrivacyCG do W3C.