Nell'ambito dei nostri sforzi per migliorare la privacy sul web, il team di Chrome si è impegnato attivamente per impedire il monitoraggio tra siti degli utenti. Prevediamo di introdurre misure di mitigazione per limitare il monitoraggio del rimbalzo entro la fine dell'anno.
Sebbene non prevediamo che molti siti non di monitoraggio saranno interessati negativamente da queste modifiche, invitiamo gli sviluppatori a testare questa nuova funzionalità con i feature flag e a fornire feedback.
Che cos'è il monitoraggio del rimbalzo?
Il monitoraggio del rimbalzo è una tecnica che consente a un sito di terze parti di memorizzare un cookie anche quando i cookie di terze parti sono bloccati. Il codice di monitoraggio di terze parti incluso in una pagina può essere utilizzato per reindirizzare un utente al sito di un tracker, dove è possibile impostare un cookie, e poi di nuovo alla pagina originale. Questo reindirizzamento può spesso avvenire così rapidamente che un utente potrebbe non accorgersene.
Il monitoraggio del rimbalzo può essere eseguito come "bounce back" o "bounce through".
Monitoraggio del rimbalzo indietro.
Monitoraggio del rimbalzo.
In entrambi i casi, gli utenti potrebbero non essere consapevoli di aver visitato tracker.example. Potrebbero credere di aver visitato solo site1.example o di aver tentato di andare su site2.example.
Quali modifiche prevede Chrome?
Chrome intende proteggere gli utenti dal monitoraggio dei rimbalzi eliminando periodicamente lo stato di questi siti di monitoraggio. La procedura funziona nel seguente modo:
- Chrome monitorerà le navigazioni e segnalerà internamente i siti che fanno parte di un "reindirizzamento con stato". Ciò significa che una navigazione è stata reindirizzata tramite il sito e che lo stato di accesso al sito durante il reindirizzamento. Sono inclusi sia i reindirizzamenti avviati dal server sia i reindirizzamenti lato client in cui JavaScript attiva programmaticamente una navigazione. L'accesso allo stato include sia i cookie sia altri tipi di archiviazione, ad esempio localstorage, indexedDB e così via.
- Chrome esamina periodicamente l'elenco dei siti segnalati e verifica se l'utente ha utilizzato attivamente il sito interagendo con esso negli ultimi 45 giorni. Questa interazione può verificarsi prima, durante o dopo il rilevamento del rimbalzo.
- Se il sito non ha alcuna interazione utente e i cookie di terze parti sono bloccati, il suo stato verrà eliminato.
Prevediamo di implementare queste modifiche per gli utenti che hanno attivato il blocco dei cookie di terze parti all'inizio del terzo trimestre del 2023.
Questo interromperà altri flussi di reindirizzamento?
Il controllo dell'interazione utente ha lo scopo di proteggere i siti non di monitoraggio dall'eliminazione nei casi in cui utilizzano anche un flusso di reindirizzamento. Ad esempio, SSO, autenticazione federata e flussi di pagamento spesso eseguono questo tipo di interazioni. Di conseguenza, non prevediamo che l'SSO, l'autenticazione federata o i flussi di pagamento vengano interessati. Ad esempio, l'accesso al provider di identità viene conteggiato come interazione utente e impedisce l'eliminazione.
Come faccio a sapere se il mio sito è interessato?
Le mitigazioni del monitoraggio del rimbalzo sono disponibili per il test con i flag delle funzionalità a partire dalla versione 115 di Chrome (attualmente l'ultima versione Canary):
- Crea un nuovo profilo Chrome. Un profilo esistente che hai utilizzato per lo sviluppo web potrebbe avere interazioni registrate sul sito di rimbalzo che i tuoi utenti tipici del sito web potrebbero non riscontrare.
- Imposta il flag su
chrome://flags/#bounce-tracking-mitigationsin corrispondenza di "Attivato con l'eliminazione". - Attiva il blocco dei cookie di terze parti in
chrome://settings/cookiesselezionando "Blocca cookie di terze parti". - Esegui il flusso di lavoro che prevede reindirizzamenti.
- Apri la scheda Problemi di Chrome DevTools e cerca un messaggio intitolato "Chrome potrebbe eliminare a breve lo stato dei siti web intermedi in una catena di navigazione recente".
- Forza l'esecuzione del controllo di eliminazione del monitoraggio dei rimbalzi andando al pannello Applicazione di DevTools, facendo clic su Mitigazioni del monitoraggio dei rimbalzi in Servizi in background e poi premendo Forza esecuzione. In alternativa, puoi attendere fino a due ore per l'eliminazione.
- Esegui il flusso di lavoro che prevede che lo stato sia presente sul sito.
Ad esempio, se al passaggio (4) visiti questa pagina demo e selezioni il link "bounce me", dovresti visualizzare un problema di DevTools:
Screenshot del problema di DevTools.
Poi, al passaggio 6 puoi forzare l'eliminazione immediata utilizzando il riquadro Applicazione di DevTools:
Pannello delle mitigazioni del monitoraggio del rimbalzo di DevTools.
Se poi torni alla demo ed esegui il rimbalzo, dovresti vedere un nuovo identificatore perché lo stato è stato cancellato.
Casi d'uso aziendali
Alcune aziende utilizzano i dispositivi gestiti in modo da consentire agli utenti di accedere automaticamente al proprio sito SSO. Poiché l'utente non interagisce con il sito SSO, Chrome potrebbe trattarlo come un tracker di rimbalzo.
Per risolvere questo problema, le aziende possono utilizzare le policy relative ai cookie per attivare i cookie di terze parti per il sito SSO. In questo modo, le mitigazioni del monitoraggio del rimbalzo non avranno effetto per quel sito.
Feedback
Puoi fornire feedback nel bug tracker di Chromium utilizzando il componente "Privacy>NavTracking". Il feedback può essere lasciato anche come problema di mitigazione del monitoraggio basato sulla navigazione di W3C PrivacyCG.