Membantu menguji mitigasi pelacakan kembali

Ben Kelly
Ben Kelly
Anusmita Ray
Anusmita Ray

Sebagai bagian dari upaya kami untuk meningkatkan privasi di web, tim Chrome telah aktif berupaya mencegah pelacakan lintas situs pengguna. Kami berencana meluncurkan mitigasi untuk membatasi pelacakan dari teknik tertentu yang disebut "pelacakan pantulan" pada akhir tahun ini.

Meskipun kami tidak berharap banyak situs non-pelacakan akan terpengaruh secara negatif oleh perubahan ini, kami ingin mengundang developer untuk menguji fitur baru ini dengan flag fitur dan memberikan masukan.

Apa yang dimaksud dengan pelacakan pantulan?

Pelacakan pantulan adalah teknik yang memungkinkan situs pihak ketiga menyimpan cookie meskipun cookie pihak ketiga diblokir. Kode pelacakan pihak ketiga yang disertakan di halaman dapat digunakan untuk mengalihkan pengguna ke situs pelacak, tempat cookie dapat ditetapkan, lalu kembali ke halaman asli. Pengalihan ini sering kali terjadi begitu cepat sehingga pengguna mungkin tidak menyadarinya.

Pelacakan pantulan dapat dilakukan sebagai "pantulan kembali" atau sebagai "pantulan melalui".

Menampilkan contoh kembali ke situs asal saat site1.example dialihkan ke tracker.example, cookie diakses, lalu dialihkan kembali ke situs asli.

Pelacakan Pantulan Kembali.

Menampilkan contoh pentalan saat site1.example dialihkan ke tracking.example. Cookie diakses, lalu dialihkan ke site2.example.

Pelacakan Pantulan Melalui.

Dalam kedua kasus tersebut, pengguna mungkin tidak menyadari bahwa mereka telah mengunjungi tracker.example. Mereka mungkin yakin bahwa mereka hanya mengunjungi site1.example atau mencoba membuka site2.example.

Apa yang direncanakan Chrome untuk diubah?

Chrome bermaksud melindungi pengguna dari pelacakan pantulan dengan menghapus status situs pelacakan ini secara berkala. Prosesnya akan berfungsi sebagai berikut:

  1. Chrome akan memantau navigasi dan menandai situs secara internal yang merupakan bagian dari "pantulan dengan status". Artinya, navigasi dialihkan melalui situs, dan situs tersebut mengakses status selama pengalihan. Hal ini mencakup pengalihan yang dimulai server dan pengalihan sisi klien tempat JavaScript memicu navigasi secara terprogram. Mengakses status mencakup cookie dan jenis penyimpanan lainnya; misalnya, localstorage, indexedDB, dan sebagainya.
  2. Chrome akan memeriksa daftar situs yang ditandai secara berkala dan memeriksa apakah pengguna telah menggunakan situs tersebut secara aktif dengan berinteraksi dengannya dalam 45 hari terakhir. Interaksi ini dapat terjadi sebelum, selama, atau setelah pantulan terdeteksi.
  3. Jika situs tidak memiliki interaksi pengguna dan cookie pihak ketiga diblokir, statusnya akan dihapus.

Kami berharap dapat meluncurkan perubahan ini kepada pengguna yang telah memilih untuk memblokir cookie pihak ketiga pada awal Q3 2023.

Apakah hal ini akan merusak alur pengalihan lainnya?

Pemeriksaan interaksi pengguna dimaksudkan untuk melindungi situs non-pelacakan dari penghapusan jika situs tersebut juga menggunakan alur pengalihan. Misalnya, SSO, autentikasi gabungan, dan alur pembayaran sering kali melakukan interaksi semacam ini. Oleh karena itu, kami tidak berharap SSO, autentikasi gabungan, atau alur pembayaran akan terpengaruh. Misalnya, tindakan login ke penyedia identitas dihitung sebagai interaksi pengguna dan mencegah penghapusan.

Bagaimana cara mengetahui apakah situs saya terpengaruh?

Mitigasi pelacakan pantulan tersedia untuk diuji dengan flag fitur dari Chrome versi 115 (saat ini Canary terbaru):

  1. Buat profil Chrome baru. Profil yang ada yang telah Anda gunakan untuk pengembangan web mungkin memiliki interaksi yang dicatat di situs pantulan yang mungkin tidak dialami oleh pengguna situs Anda yang biasa.
  2. Tetapkan flag di chrome://flags/#bounce-tracking-mitigations ke "Diaktifkan Dengan Penghapusan".
  3. Aktifkan pemblokiran cookie pihak ketiga di chrome://settings/cookies dengan memilih "Blokir cookie pihak ketiga".
  4. Lakukan alur kerja yang melibatkan pengalihan.
  5. Buka tab Masalah Chrome DevTools dan cari pesan berjudul "Chrome mungkin akan segera menghapus status untuk situs perantara dalam rantai navigasi terbaru".
  6. Paksa pemeriksaan penghapusan pelacakan pantulan agar terjadi dengan membuka Panel Aplikasi DevTools, mengklik Mitigasi Pelacakan Pantulan di bagian Layanan Latar Belakang, lalu menekan Paksa Jalankan. Atau, Anda dapat menunggu hingga dua jam agar penghapusan terjadi.
  7. Lakukan alur kerja yang diharapkan memiliki status di situs yang dipantulkan.

Misalnya, jika pada langkah (4) Anda mengunjungi halaman demo ini dan memilih link "bounce me", Anda dapat melihat masalah DevTools:

Screenshot masalah DevTools yang menunjukkan bahwa bounce-tracking-demo-tracker.glitch.me berisiko dihapus.

Screenshot masalah DevTools.

Kemudian, pada langkah 6, Anda dapat memaksa penghapusan terjadi segera menggunakan Panel Aplikasi DevTools:

Screenshot tab aplikasi devtools dengan panel mitigasi pelacakan rasio pentalan yang dipilih. Panel menunjukkan bahwa operasi jalankan paksa telah digunakan dan penyimpanan telah dihapus untuk situs demo.

Panel mitigasi pelacakan pantulan DevTools.

Jika Anda mengunjungi kembali demo dan melakukan pantulan, Anda akan melihat ID baru yang dihasilkan karena status telah dihapus.

Kasus penggunaan perusahaan

Beberapa perusahaan menggunakan perangkat terkelola dengan cara yang otomatis membuat pengguna login ke situs SSO mereka. Karena pengguna tidak berinteraksi dengan situs SSO, hal ini dapat menyebabkan Chrome memperlakukan situs tersebut sebagai pelacak pantulan.

Untuk mengurangi masalah ini, perusahaan dapat menggunakan kebijakan cookie untuk mengaktifkan cookie pihak ketiga untuk situs SSO. Tindakan ini akan mencegah mitigasi pelacakan pantulan berlaku untuk situs tersebut.

Masukan

Anda dapat memberikan masukan di pelacak bug Chromium menggunakan komponen "Privacy>NavTracking". Masukan juga dapat diberikan sebagai masalah Mitigasi Pelacakan Berbasis Navigasi W3C PrivacyCG.