Ayuda a probar las mitigaciones del seguimiento por rebote

Ben Kelly
Ben Kelly
Anusmita Ray
Anusmita Ray

Como parte de nuestros esfuerzos para mejorar la privacidad en la Web, el equipo de Chrome ha estado trabajando activamente para evitar el seguimiento de usuarios entre sitios. Más adelante este año, planeamos lanzar mitigaciones para limitar el seguimiento de una técnica específica llamada "seguimiento por rebote".

Si bien no esperamos que muchos sitios sin seguimiento se vean afectados negativamente por estos cambios, nos gustaría invitar a los desarrolladores a probar esta nueva función con marcas de función y a que nos envíen sus comentarios.

¿Qué es el seguimiento por rebote?

El seguimiento por rebote es una técnica que permite que un sitio de terceros almacene una cookie, incluso cuando las cookies de terceros están bloqueadas. El código de seguimiento de terceros incluido en una página puede utilizarse para redireccionar a un usuario al sitio de un rastreador, donde se puede configurar una cookie, y luego regresar a la página original. Este redireccionamiento suele ocurrir tan rápido que el usuario puede ni siquiera notarlo.

El seguimiento por rebote se puede realizar como un "rebote" o como un "rebote".

Muestra un ejemplo de un rebote en el que site1.example redirecciona a rastreador.example, se accede a las cookies y, luego, vuelve al sitio original.

Seguimiento de rebote.

Muestra un ejemplo de rebote cuando site1.example redirecciona a tracking.example. a las cookies y, luego, lo redirecciona a site2.example.

Seguimiento de rebote.

En ambos casos, es posible que los usuarios no sepan que visitaron tracker.example. Es posible que crea que solo visitó site1.example o intentó navegar a site2.example.

¿Qué planea cambiar Chrome?

Para proteger a los usuarios del seguimiento por rebote, Chrome borra periódicamente el estado de estos sitios de seguimiento. El proceso funcionará de la siguiente manera:

  1. Chrome supervisa las navegaciones y marca internamente los sitios que forman parte de un "rebote con estado". Esto significa una navegación redireccionada a través del sitio y que se accedió al estado durante el redireccionamiento. Esto incluye los redireccionamientos iniciados por el servidor y los del cliente en los que JavaScript activa una navegación de manera programática. El acceso al estado incluye las cookies y otros tipos de almacenamiento; por ejemplo, localstorage, IndexingDB, etcétera.
  2. Chrome examinará periódicamente la lista de sitios marcados y verificará si el usuario usó activamente el sitio interactuando con él en los últimos 45 días. Esta interacción puede ocurrir antes, durante o después de que se detectó el rebote.
  3. Si el sitio no tiene ninguna interacción del usuario y se bloquean las cookies de terceros, se borrará su estado.

Esperamos lanzar estos cambios para los usuarios que aceptaron bloquear las cookies de terceros a principios del tercer trimestre de 2023.

¿Esto romperá otros flujos de redireccionamiento?

La verificación de interacción del usuario está diseñada para evitar que se borren los sitios que no realizan un seguimiento en los casos en los que también usen un flujo de redireccionamiento. Por ejemplo, el SSO, la autenticación federada y los flujos de pago suelen realizar este tipo de interacciones. Por lo tanto, no esperamos que el SSO, la autenticación federada ni los flujos de pagos se vean afectados. Sin embargo, el hecho de acceder al proveedor de identidad cuenta como una interacción del usuario y evita la eliminación.

¿Cómo puedo saber si mi sitio se verá afectado?

Las mitigaciones del seguimiento por rebote están disponibles para probar con marcas de función de la versión 115 de Chrome (actualmente, la versión más reciente de Canary):

  1. Crea un nuevo perfil de Chrome. Es posible que un perfil existente que hayas utilizado para el desarrollo web tenga interacciones registradas en el sitio de rebote que los usuarios típicos de tu sitio web tal vez no experimenten.
  2. Establece la marca en chrome://flags/#bounce-tracking-mitigations como "Habilitado con eliminación".
  3. Para habilitar el bloqueo de cookies de terceros en chrome://settings/cookies, selecciona "Bloquear cookies de terceros".
  4. Realiza un flujo de trabajo que implique redireccionamientos.
  5. Abre la pestaña Problemas de las Herramientas para desarrolladores de Chrome y busca el mensaje "Chrome pronto podría borrar el estado de los sitios web intermedios en una cadena de navegación reciente".
  6. Para forzar la verificación de eliminación del seguimiento por rebote, ve al panel de la aplicación de Herramientas para desarrolladores, haz clic en Mitigaciones del seguimiento de rebote en Servicios en segundo plano y, luego, presiona Forzar ejecución. Como alternativa, puedes esperar hasta dos horas para que se borre.
  7. Realiza el flujo de trabajo que esperaría tener un estado presente en el sitio de rebote.

Por ejemplo, si en el paso (4) visitas esta página de demostración y seleccionas el vínculo "bounce me", es posible que veas un problema de Herramientas para desarrolladores:

Una captura de pantalla del problema de Herramientas para desarrolladores que indica que bounce-tracking-demo-tracker.glitch.me corre el riesgo de borrarse.

Captura de pantalla del problema de Herramientas para desarrolladores.

Luego, en el paso 6, puedes hacer que la eliminación ocurra de inmediato usando el panel de aplicaciones de Herramientas para desarrolladores:

Captura de pantalla de la pestaña de la aplicación Herramientas para desarrolladores con el panel de mitigaciones del seguimiento de rebote seleccionado.  En el panel, se muestra que se usó la operación de ejecución forzada y que se borró el almacenamiento del sitio de demostración.

Panel de mitigaciones del seguimiento por rebote de Herramientas para desarrolladores.

Si vuelves a ver la demostración y realizas el rebote, deberías ver que se produjo un identificador nuevo porque se borró el estado.

Casos de uso empresariales

Algunas empresas usan dispositivos administrados de manera que los usuarios accedan automáticamente a sus sitios de SSO. Como el usuario no interactúa con el sitio de SSO, es posible que Chrome lo considere un seguimiento de rebote.

Para mitigar este problema, las empresas pueden usar políticas de cookies y habilitar cookies de terceros para el sitio de SSO. Así, evitarás que se apliquen las mitigaciones del seguimiento por rebote para ese sitio.

Comentarios

Puede enviar sus comentarios en el registro de errores de Chromium mediante el componente "Privacy>NavTracking". Los comentarios también se pueden dejar como un problema de mitigación de seguimiento basado en la navegación basada en la navegación de W3C de PrivacyCG.