Como parte de nuestros esfuerzos por mejorar la privacidad en la Web, el equipo de Chrome ha estado trabajando activamente para evitar el seguimiento entre sitios de usuarios. Planeamos lanzar mitigaciones para limitar el seguimiento por rebote más adelante este año.
Si bien no esperamos que estos cambios afecten de forma negativa a muchos sitios que no realizan un seguimiento, invitamos a los desarrolladores a probar esta nueva función con marcas de funciones y brindar comentarios.
¿Qué es el seguimiento por rebote?
El seguimiento por rebote es una técnica que permite que un sitio de terceros almacene una cookie incluso cuando se bloquean las cookies de terceros. El código de seguimiento de terceros incluido en una página se puede usar para redireccionar a un usuario al sitio de un rastreador, donde se puede establecer una cookie y, luego, volver a la página original. A menudo, este redireccionamiento puede ocurrir tan rápido que es posible que el usuario ni siquiera lo note.
El seguimiento por rebote se puede realizar como un "rebote" o como un "rebote a través de".
Seguimiento de Bounce Back
Seguimiento de rebote.
En ambos casos, es posible que los usuarios no sepan que visitaron tracker.example. Es posible que crean que solo visitaron site1.example o intentaron navegar a site2.example.
¿Qué planea cambiar Chrome?
Chrome tiene la intención de proteger a los usuarios del seguimiento por rebote borrando periódicamente el estado de estos sitios de seguimiento. El proceso funcionará de la siguiente manera:
- Chrome supervisará la navegación y marcará internamente los sitios que forman parte de un "rebote con estado". Esto significa que una navegación se redireccionó a través del sitio y que el sitio accedió al estado durante el redireccionamiento. Esto incluye los redireccionamientos iniciados por el servidor y los redireccionamientos del cliente en los que JavaScript activa una navegación de forma programática. El acceso al estado incluye tanto las cookies como otros tipos de almacenamiento, por ejemplo, localStorage, IndexedDB, etcétera.
- Chrome examinará periódicamente la lista de sitios marcados y verificará si el usuario usó el sitio de forma activa interactuando con él en los últimos 45 días. Esta interacción puede ocurrir antes, durante o después de que se detectó el rebote.
- Si el sitio no tiene interacción del usuario y se bloquean las cookies de terceros, se borrará su estado.
Esperamos lanzar estos cambios para los usuarios que habilitaron el bloqueo de cookies de terceros a principios del 3ᵉʳ trimestre de 2023.
¿Esto interrumpirá otros flujos de redireccionamiento?
La verificación de la interacción del usuario tiene como objetivo proteger los sitios que no realizan un seguimiento de la eliminación en los casos en que también utilizan un flujo de redireccionamiento. Por ejemplo, el SSO, la autenticación federada y los flujos de pago suelen realizar este tipo de interacciones. Por lo tanto, no esperamos que se vean afectados los flujos de SSO, autenticación federada o pagos. Por ejemplo, el acto de acceder al proveedor de identidad cuenta como una interacción del usuario y evita la eliminación.
¿Cómo puedo saber si mi sitio se ve afectado?
Las mitigaciones del seguimiento por rebote están disponibles para probarlas con marcas de funciones a partir de la versión 115 de Chrome (actualmente, la versión Canary más reciente):
- Crea un nuevo perfil de Chrome. Un perfil existente que hayas usado para el desarrollo web podría tener interacciones registradas en el sitio de rebote que los usuarios típicos de tu sitio web tal vez no experimenten.
- Establece la marca en
chrome://flags/#bounce-tracking-mitigationscomo "Habilitado con eliminación". - Habilita el bloqueo de cookies de terceros en
chrome://settings/cookiesseleccionando "Bloquear cookies de terceros". - Realiza el flujo de trabajo que implica redireccionamientos.
- Abre la pestaña Problemas de las Herramientas para desarrolladores de Chrome y busca un mensaje titulado "Chrome may soon delete state for intermediate websites in a recent navigation chain".
- Para forzar la verificación de eliminación del seguimiento por rebote, ve al panel Aplicación de Herramientas para desarrolladores, haz clic en Mitigaciones del seguimiento por rebote en Servicios en segundo plano y, luego, presiona Forzar ejecución. Como alternativa, puedes esperar hasta dos horas para que se produzca la eliminación.
- Realiza el flujo de trabajo que esperaría tener un estado presente en el sitio por el que se rebotó.
Por ejemplo, si en el paso (4) visitas esta página de demostración y seleccionas el vínculo "bounce me", verás un problema de Herramientas para desarrolladores:
Captura de pantalla del problema de Herramientas para desarrolladores
Luego, en el paso 6, puedes forzar la eliminación para que se produzca de inmediato con el panel Application de las Herramientas para desarrolladores:
Panel de mitigaciones del seguimiento por rebote de Herramientas para desarrolladores.
Si luego vuelves a visitar la demostración y realizas el rebote, deberías ver que se generó un identificador nuevo porque se borró el estado.
Casos de uso empresariales
Algunas empresas usan dispositivos administrados de manera que los usuarios acceden automáticamente a su sitio de SSO. Dado que el usuario no interactúa con el sitio de SSO, esto puede hacer que Chrome trate el sitio como un rastreador de rebote.
Para mitigar este problema, las empresas pueden usar políticas de cookies para habilitar las cookies de terceros en el sitio de SSO. De esta manera, se evitará que las mitigaciones de seguimiento por rebote surtan efecto en ese sitio.
Comentarios
Puedes enviar comentarios en el registro de errores de Chromium con el componente "Privacidad>NavTracking". También puedes dejar comentarios como un problema de W3C PrivacyCG sobre las mitigaciones del seguimiento basado en la navegación.