为了改进网络隐私保护,Chrome 团队一直在积极努力,以防止跨网站跟踪用户。我们计划在今年晚些时候推出缓解措施,以限制通过一种称为“反弹跟踪”的特定技术进行的跟踪。
虽然我们预计这些更改不会对许多非跟踪网站产生不利影响,但我们仍希望邀请开发者使用功能标志测试这项新功能并提供反馈。
什么是反弹跟踪?
反弹跟踪是一种技术,可让第三方网站即使在第三方 Cookie 被屏蔽的情况下也能存储 Cookie。网页上包含的第三方跟踪代码可用于将用户重定向到跟踪者的网站,在该网站上可以设置 Cookie,然后将用户重定向回原始网页。这种重定向通常非常快,用户可能甚至不会注意到。
反弹跟踪可以采用“跳回”或“跳过”方式。
向后弹跳跟踪。
跳出跟踪。
在这两种情况下,用户可能都不知道自己访问过 tracker.example。他们可能认为自己只访问过 site1.example 或尝试前往 site2.example。
Chrome 计划做出哪些更改?
Chrome 打算通过定期删除这些反弹跟踪网站的状态来保护用户免受反弹跟踪的侵害。该流程的运作方式如下:
- Chrome 会监控导航,并在内部标记属于“有状态跳出”的网站。这意味着导航通过网站重定向,并且网站在重定向期间访问了状态。这包括服务器发起的重定向和客户端重定向(其中 JavaScript 以编程方式触发导航)。访问状态包括 Cookie 和其他类型的存储空间,例如 localStorage、indexedDB 等。
- Chrome 会定期检查已标记的网站列表,并检查用户是否在过去 45 天内通过与网站互动而主动使用过该网站。此互动可以在检测到跳出之前、期间或之后发生。
- 如果网站没有任何用户互动,并且第三方 Cookie 被屏蔽,则其状态将被删除。
我们希望在 2023 年第 3 季度初向已选择屏蔽第三方 Cookie 的用户推出这些变更。
这是否会破坏其他重定向流程?
用户互动检查旨在保护非跟踪网站,防止其在也使用重定向流程的情况下被删除。例如,单点登录、联合身份验证和付款流程通常会执行此类互动。因此,我们预计单点登录、联合身份验证或付款流程不会受到影响。例如,登录身份提供方的行为属于用户互动,可防止账号被删除。
如何判断我的网站是否受到影响?
从 Chrome 版本 115(目前最新的 Canary 版)开始,您可以使用功能标志测试反弹跟踪缓解措施:
- 创建新的 Chrome 个人资料。您之前用于 Web 开发的现有个人资料可能在跳出网站上记录了互动,而您的典型网站用户可能不会遇到这种情况。
- 将
chrome://flags/#bounce-tracking-mitigations中的标志设置为“已启用且支持删除”。 - 在
chrome://settings/cookies中启用第三方 Cookie 阻止功能,方法是选择“阻止第三方 Cookie”。 - 执行涉及重定向的工作流。
- 打开 Chrome 开发者工具的“问题”标签页,然后查找标题为“Chrome 可能会很快删除最近导航链中中间网站的状态”的消息。
- 前往开发者工具“应用”面板,点击后台服务下的反弹跟踪缓解措施,然后按强制运行,强制执行反弹跟踪删除检查。或者,您也可以等待最长两小时,让系统完成删除操作。
- 执行您的工作流程,该工作流程应能让网站通过跳转保留状态。
例如,如果在第 4 步中访问此演示页面并选择“bounce me”链接,则会看到一个开发者工具问题:
DevTools 问题的屏幕截图。
然后,在第 6 步中,您可以使用开发者工具“应用”面板强制立即删除:
开发者工具反弹跟踪缓解措施面板。
如果您随后重新访问演示并执行跳动操作,则应该会看到生成了一个新标识符,因为状态已清除。
企业用例
部分企业以自动将用户登录到其单点登录网站的方式使用受管设备。由于用户不与单点登录网站互动,这可能会导致 Chrome 将该网站视为反弹跟踪器。
为了缓解此问题,企业可以使用 Cookie 政策为单点登录网站启用第三方 Cookie。这样一来,反弹跟踪缓解措施便不会对相应网站生效。
反馈
您可以在 Chromium bug 跟踪器中使用“隐私权>导航跟踪”组件提供反馈。您还可以将反馈作为 W3C PrivacyCG 基于导航的跟踪缓解问题提交。