Contribuer à tester les mesures d'atténuation du suivi des rebonds

Ben Kelly
Ben Kelly
Anusmita Ray
Anusmita Ray

Dans le cadre de nos efforts visant à améliorer la confidentialité sur le Web, l'équipe Chrome s'efforce activement d'empêcher le suivi intersite des utilisateurs. Nous prévoyons de lancer des mesures d'atténuation pour limiter le suivi à partir d'une technique particulière appelée "suivi des rebonds" plus tard cette année.

Bien que nous ne nous attendions pas à ce que de nombreux sites non axés sur le suivi soient affectés par ces modifications, nous invitons les développeurs à tester cette nouvelle fonctionnalité à l'aide de flags de fonctionnalité et à nous faire part de leurs commentaires.

Qu'est-ce que le suivi des rebonds ?

Le suivi des rebonds est une technique qui permet à un site tiers de stocker un cookie même lorsque les cookies tiers sont bloqués. Le code de suivi par un tiers inclus sur une page peut être utilisé pour rediriger un utilisateur vers le site d'un outil de suivi, où un cookie peut être défini, puis vers la page d'origine. Cette redirection peut souvent se produire si rapidement qu'un utilisateur peut même ne pas s'en rendre compte.

Le suivi des rebonds peut être effectué sous la forme d'un "rebond" ou d'un "rebond direct".

Exemple de rebond : site1.example redirige vers tracker.example, les cookies sont consultés, puis le site d'origine est redirigé.

Suivi des rebonds.

Affiche un exemple de rebond où site1.example redirige vers tracking.example, les cookies sont consultés, puis redirige vers site2.example.

Suivi des rebonds directs.

Dans les deux cas, les utilisateurs peuvent ne pas savoir qu'ils ont consulté tracker.example. Ils peuvent penser qu'ils n'ont consulté que site1.example ou qu'ils ont essayé d'accéder à site2.example.

Quels changements Chrome prévoit-il d'apporter ?

Chrome a l'intention de protéger les utilisateurs contre le suivi des rebonds en supprimant régulièrement l'état de ces sites de suivi. Le processus se déroulera comme suit :

  1. Chrome surveillera les navigations et signalera en interne les sites qui font partie d'un "rebond avec état". Cela signifie qu'une navigation a été redirigée via le site et que le site a accédé à l'état lors de la redirection. Cela inclut à la fois les redirections initiées par le serveur et les redirections côté client où JavaScript déclenche une navigation par programmation. L'accès à l'état inclut à la fois les cookies et d'autres types de stockage, par exemple, localstorage, indexedDB, etc.
  2. Chrome examinera régulièrement la liste des sites signalés et vérifiera si l'utilisateur a utilisé activement le site en interagissant avec lui au cours des 45 derniers jours. Cette interaction peut avoir lieu avant, pendant ou après la détection du rebond.
  3. Si le site n'a aucune interaction de l'utilisateur et que les cookies tiers sont bloqués, son état sera supprimé.

Nous espérons lancer ces modifications pour les utilisateurs qui ont choisi de bloquer les cookies tiers au début du troisième trimestre 2023.

Cela interrompra-t-il d'autres flux de redirection ?

La vérification de l'interaction utilisateur est destinée à protéger les sites non axés sur le suivi contre la suppression dans les cas où ils utilisent également un flux de redirection. Par exemple, l'authentification unique, l'authentification fédérée et les flux de paiement effectuent souvent ce type d'interactions. Par conséquent, nous ne nous attendons pas à ce que l'authentification unique, l'authentification fédérée ou les flux de paiement soient affectés. Par exemple, l'action de se connecter au fournisseur d'identité est considérée comme une interaction de l'utilisateur et empêche la suppression.

Comment savoir si mon site est concerné ?

Les mesures d'atténuation du suivi des rebonds sont disponibles pour les tests avec des flags de fonctionnalité à partir de la version 115 de Chrome (actuellement la dernière version Canary) :

  1. Créez un nouveau profil Chrome. Un profil existant que vous avez utilisé pour le développement Web peut avoir des interactions enregistrées sur le site de rebond que les utilisateurs de votre site Web habituels ne verront peut-être pas.
  2. Définissez le flag sur chrome://flags/#bounce-tracking-mitigations sur "Activé avec suppression".
  3. Activez le blocage des cookies tiers dans chrome://settings/cookies en sélectionnant "Bloquer les cookies tiers".
  4. Effectuez votre workflow impliquant des redirections.
  5. Ouvrez l'onglet Problèmes des outils pour les développeurs Chrome et recherchez un message intitulé "Chrome may soon delete state for intermediate websites in a recent navigation chain" (Chrome pourrait bientôt supprimer l'état des sites Web intermédiaires dans une chaîne de navigation récente).
  6. Forcez la vérification de la suppression du suivi des rebonds en accédant au panneau "Application" des outils pour les développeurs, en cliquant sur Bounce Tracking Mitigations (Mesures d'atténuation du suivi des rebonds) sous Background Services (Services d'arrière-plan), puis en appuyant sur Force Run (Forcer l'exécution). Vous pouvez également attendre jusqu'à deux heures pour que la suppression ait lieu.
  7. Effectuez votre workflow qui devrait avoir un état présent sur le site via lequel le rebond a eu lieu.

Par exemple, si à l'étape 4 vous accédez à cette page de démonstration et sélectionnez le lien "bounce me" (rebondissez-moi), vous devriez voir un problème dans les outils pour les développeurs :

Capture d'écran du problème lié aux outils de développement indiquant que bounce-tracking-demo-tracker.glitch.me risque d'être supprimé.

Capture d'écran du problème dans les outils pour les développeurs.

Ensuite, à l'étape 6, vous pouvez forcer la suppression immédiate à l'aide du panneau "Application" des outils pour les développeurs :

Capture d'écran de l'onglet "Application" des outils de développement, avec le panneau des mesures d'atténuation du suivi des rebonds sélectionné. Le panneau indique que l'opération d'exécution forcée a été utilisée et que le stockage a été supprimé pour le site de démonstration.

Panneau des mesures d'atténuation du suivi des rebonds des outils pour les développeurs.

Si vous revenez ensuite à la démonstration et effectuez le rebond, vous devriez voir un nouvel identifiant généré, car l'état a été effacé.

Cas d'utilisation en entreprise

Certaines entreprises utilisent des appareils gérés de manière à connecter automatiquement les utilisateurs à leur site d'authentification unique. Comme l'utilisateur n'interagit pas avec le site d'authentification unique, Chrome peut traiter le site comme un outil de suivi des rebonds.

Pour atténuer ce problème, les entreprises peuvent utiliser des règles de cookies pour activer les cookies tiers pour le site d'authentification unique. Cela empêchera ensuite les mesures d'atténuation du suivi des rebonds de prendre effet pour ce site.

Commentaires

Vous pouvez envoyer des commentaires dans l'outil de suivi des bugs de Chromium à l'aide du composant "Privacy>NavTracking". Vous pouvez également laisser des commentaires sous forme de problème lié aux mesures d'atténuation du suivi basé sur la navigation du W3C PrivacyCG.