Aiuta a testare le mitigazioni del monitoraggio del rimbalzo

Ben Kelly
Ben Kelly
Anusmita Ray
Anusmita Ray

Nell'ambito del nostro impegno volto a migliorare la privacy sul web, il team di Chrome sta lavorando attivamente per impedire il monitoraggio degli utenti tra siti. Prevediamo di lanciare delle mitigazioni per limitare il monitoraggio da parte di una particolare tecnica chiamata "monitoraggio dei rimbalzo" entro la fine dell'anno.

Anche se non prevediamo che molti siti non di monitoraggio saranno interessati da queste modifiche, vorremmo invitare gli sviluppatori a testare questa nuova funzionalità con flag funzionalità e a fornire un feedback.

Che cos'è il monitoraggio del rimbalzo?

Il monitoraggio del rimbalzo è una tecnica che consente a un sito di terze parti di memorizzare un cookie anche quando i cookie di terze parti sono bloccati. Il codice di monitoraggio di terze parti incluso in una pagina può essere utilizzato per reindirizzare un utente al sito di un tracker, dove è possibile impostare un cookie, quindi tornare alla pagina originale. Spesso questo reindirizzamento può avvenire così rapidamente che un utente potrebbe anche non accorgersi.

Il monitoraggio del rimbalzo può essere eseguito come "rimbalzo" o "rimbalzo attraverso".

Mostra un esempio di rimbalzo in cui site1.example reindirizza a tracker.example, consente di accedere ai cookie e quindi di reindirizzare al sito originale.

Monitoraggio del rimbalzo.

Mostra un esempio di rimbalzo tramite la posizione in cui site1.example reindirizza ai cookie tracking.example. e poi reindirizza a site2.example.

Rimbalzo attraverso il monitoraggio.

In entrambi i casi, gli utenti possono non sapere di aver visitato tracker.example. Potrebbe credere di aver visitato solo site1.example o aver provato a raggiungere site2.example.

Cosa cambierà in Chrome?

Chrome intende proteggere gli utenti dal monitoraggio del rimbalzo eliminando periodicamente lo stato di questi siti di monitoraggio. La procedura funziona nel seguente modo:

  1. Chrome monitorerà le navigazioni e segnalerà internamente i siti che fanno parte di un "Bounce stateful". Ciò significa che una navigazione reindirizzata attraverso il sito, che viene visualizzato durante il reindirizzamento. Sono inclusi sia i reindirizzamenti avviati dal server e quelli lato client in cui JavaScript attiva in modo programmatico una navigazione. L'accesso allo stato include sia i cookie che altri tipi di archiviazione, ad esempio localstorage, indexDB e così via.
  2. Chrome esamina periodicamente l'elenco dei siti segnalati e controlla se l'utente ha utilizzato attivamente il sito interagendo con il sito negli ultimi 45 giorni. Questa interazione può verificarsi prima, durante o dopo il rilevamento del rimbalzo.
  3. Se il sito non consente alcuna interazione da parte dell'utente e i cookie di terze parti sono bloccati, il suo stato verrà eliminato.

Ci auguriamo di lanciare queste modifiche per gli utenti che hanno attivato il blocco dei cookie di terze parti all'inizio del terzo trimestre del 2023.

Questa operazione interromperà altri flussi di reindirizzamento?

Il controllo dell'interazione dell'utente ha lo scopo di proteggere dall'eliminazione i siti non di monitoraggio nei casi in cui utilizzino anche un flusso di reindirizzamento. Ad esempio, SSO, autenticazione federata e flussi di pagamento spesso eseguono questo tipo di interazioni. Di conseguenza, non prevediamo che siano interessati i flussi SSO, l'autenticazione federata o i flussi di pagamento. Ad esempio, l'atto di accesso al provider di identità, tuttavia, viene conteggiato come un'interazione dell'utente e impedisce l'eliminazione.

Come faccio a capire se il mio sito è interessato?

Le mitigazioni del monitoraggio del rimbalzo sono disponibili per il test con i flag funzionalità della versione 115 di Chrome (attualmente la versione più recente di Canary):

  1. Crea un nuovo profilo Chrome. In un profilo esistente che hai utilizzato per lo sviluppo web potrebbero essere registrate interazioni sul sito di rimbalzo che gli utenti tipici del tuo sito web potrebbero non provare.
  2. Imposta il flag su chrome://flags/#bounce-tracking-mitigations su "Attivato con l'eliminazione".
  3. Attiva il blocco dei cookie di terze parti in chrome://settings/cookies selezionando "Blocca cookie di terze parti".
  4. Esegui un flusso di lavoro che prevede reindirizzamenti.
  5. Apri la scheda Problemi di Chrome DevTools e cerca il messaggio "A breve Chrome potrebbe eliminare lo stato per i siti web intermedi in una catena di navigazione recente".
  6. Per forzare l'esecuzione del controllo di eliminazione del monitoraggio del rimbalzo, vai al riquadro dell'applicazione DevTools, fai clic su Mitigazioni del monitoraggio del rimbalzo in Servizi in background, quindi premi Forza esecuzione. In alternativa, puoi attendere fino a due ore prima che venga eseguita l'eliminazione.
  7. Esegui il flusso di lavoro che prevede che lo stato sia presente sul sito.

Ad esempio, se nel passaggio (4) visiti questa pagina demo e selezioni il link "rimbalzi", potresti vedere un problema di DevTools:

Uno screenshot del problema DevTools che indica che rimbalzo-tracking-demo-tracker.glitch.me rischia di essere eliminato.

Screenshot del problema DevTools.

Nel passaggio 6 puoi quindi forzare l'eliminazione immediata utilizzando il riquadro dell'applicazione DevTools:

Uno screenshot della scheda dell'applicazione devtools con il riquadro delle mitigazioni del monitoraggio del rimbalzo selezionato.  Il riquadro mostra che l'operazione Forza esecuzione è stata utilizzata e lo spazio di archiviazione è stato eliminato per il sito dimostrativo.

Riquadro Mitigazioni del monitoraggio del rimbalzo di DevTools.

Se poi rivedi la demo ed esegui il rimbalzo, dovresti vedere un nuovo identificatore generato perché lo stato è stato cancellato.

Casi d'uso aziendali

Alcune aziende utilizzano i dispositivi gestiti in modo da accedere automaticamente gli utenti al proprio sito SSO. Poiché l'utente non interagisce con il sito dell'SSO, Chrome potrebbe considerare il sito come un tracker del rimbalzo.

Per limitare questo problema, le aziende possono utilizzare le norme sui cookie per attivare i cookie di terze parti per il sito SSO. In questo modo, le mitigazioni del monitoraggio del rimbalzo non verranno applicate al sito in questione.

Feedback

Puoi fornire un feedback nel tracker dei bug di Chromium utilizzando il componente "Privacy>NavTracking". Il feedback può anche essere lasciato come problema di mitigazione del monitoraggio basato sulla navigazione basato sulla navigazione di W3C PrivacyCG.