為改善網路隱私權,Chrome 團隊積極防止跨網站追蹤使用者。我們預計在今年稍晚推出防護措施,限制透過「跳轉追蹤」這項特定技術進行追蹤。
我們預期這些變更不會對許多非追蹤網站造成負面影響,但仍邀請開發人員使用功能標記測試這項新功能,並提供意見回饋。
什麼是跳轉追蹤?
即使第三方 Cookie 遭到封鎖,第三方網站仍可透過跳轉追蹤技術儲存 Cookie。網頁上包含的第三方追蹤程式碼可用於將使用者重新導向至追蹤工具的網站,以便設定 Cookie,然後再返回原始網頁。這項重新導向作業通常會快速完成,使用者可能不會注意到。
跳轉追蹤可以透過「反彈」或「彈跳」方式進行。
向後跳追蹤。
跳轉追蹤。
在這兩種情況下,使用者可能不會察覺自己造訪了 tracker.example。他們可能認為自己只造訪 site1.example 或嘗試前往 site2.example。
Chrome 預計進行哪些變更?
Chrome 打算定期刪除這些追蹤網站的狀態,保護使用者免受跳轉追蹤。程序如下:
- Chrome 會監控瀏覽作業,並在內部標記屬於「有狀態彈跳」的網站。這表示導覽已透過網站重新導向,且網站在重新導向期間存取了狀態。包括伺服器啟動的重新導向,以及 JavaScript 以程式輔助方式觸發導覽的用戶端重新導向。存取狀態包括 Cookie 和其他類型的儲存空間,例如 localstorage、indexedDB 等。
- Chrome 會定期檢查已標記的網站清單,並確認使用者是否在過去 45 天內與網站互動,積極使用該網站。這項互動可能發生在系統偵測到跳出之前、期間或之後。
- 如果網站沒有任何使用者互動,且第三方 Cookie 遭到封鎖,系統就會刪除網站狀態。
我們預計在 2023 年第 3 季初,向選擇封鎖第三方 Cookie 的使用者推出這些異動。
這是否會中斷其他重新導向流程?
使用者互動檢查的目的是保護非追蹤網站,避免這些網站也使用重新導向流程,而遭到刪除。舉例來說,單一登入、同盟驗證和付款流程通常會執行這類互動。因此,單一登入、同盟驗證或付款流程應該不會受到影響。舉例來說,登入識別資訊提供者會視為使用者互動,因此不會刪除帳戶。
如何判斷我的網站是否受到影響?
您可以透過 Chrome 115 版 (目前為最新 Canary 版) 的功能旗標,測試跳轉追蹤防護措施:
- 建立新的 Chrome 設定檔。您用於網頁開發的現有設定檔,可能已在跳出網站上記錄互動,而一般網站使用者可能不會遇到這種情況。
- 將
chrome://flags/#bounce-tracking-mitigations的旗標設為「啟用並搭配刪除功能」。 - 在
chrome://settings/cookies中選取「封鎖第三方 Cookie」,啟用第三方 Cookie 封鎖功能。 - 執行涉及重新導向的工作流程。
- 開啟 Chrome 開發人員工具的「問題」分頁,然後尋找標題為「Chrome may soon delete state for intermediate websites in a recent navigation chain」的訊息。
- 如要強制執行跳轉追蹤刪除檢查,請前往開發人員工具的「應用程式」面板,按一下「背景服務」下方的「跳轉追蹤緩解措施」,然後按下「強制執行」。或者,你也可以等待最多兩小時,讓系統刪除檔案。
- 執行工作流程,預期在透過網站跳轉時會有狀態。
舉例來說,如果您在步驟 (4) 中造訪這個示範網頁,並選取「bounce me」連結,您應該會看到開發人員工具問題:
開發人員工具問題的螢幕截圖。
接著,您可以在步驟 6 中使用開發人員工具的「應用程式」面板,強制立即刪除:
開發人員工具跳轉追蹤因應措施面板。
接著,如果您重新造訪示範並執行跳轉,應該會看到系統產生新的 ID,因為狀態已清除。
企業用途
部分企業會使用受管理裝置,自動將使用者登入單一登入 (SSO) 網站。由於使用者不會與單一登入 (SSO) 網站互動,Chrome 可能會將該網站視為跳轉追蹤器。
如要解決這個問題,企業可以使用Cookie 政策,為單一登入網站啟用第三方 Cookie。這樣一來,該網站就不會受到跳轉追蹤緩解措施影響。
意見回饋
您可以使用「Privacy>NavTracking」元件,在 Chromium 錯誤追蹤工具中提供意見回饋。您也可以將意見回饋當做 W3C PrivacyCG Navigation-based Tracking Mitigations 問題。