Dans le cadre de ses efforts visant à améliorer la confidentialité sur le Web, l'équipe Chrome s'efforce d'empêcher le suivi intersites des utilisateurs. Nous prévoyons de lancer des mesures d'atténuation afin de limiter le suivi à l'aide d'une technique particulière appelée "suivi des rebonds" d'ici la fin de l'année.
Nous pensons que ces modifications n'affecteront pas beaucoup de sites sans suivi. Toutefois, nous souhaitons inviter les développeurs à tester cette nouvelle fonctionnalité à l'aide de flags de fonctionnalité et à nous faire part de leurs commentaires.
Qu'est-ce que le suivi des rebonds ?
Le suivi des rebonds est une technique qui permet à un site tiers de stocker un cookie même lorsque les cookies tiers sont bloqués. Le code de suivi tiers inclus sur une page peut être utilisé pour rediriger un utilisateur vers le site d'un outil de suivi, où un cookie peut être défini, puis revenir à la page d'origine. Cette redirection est souvent si rapide que l'utilisateur ne s'en aperçoit même pas.
Le suivi des rebonds peut être effectué en tant que "retour à l'expéditeur" ou "retour à l'expéditeur".
Suivi des rebonds
Sauts via le suivi.
Dans les deux cas, les utilisateurs peuvent ne pas savoir qu'ils ont consulté tracker.example. Il pense peut-être n'avoir visité que site1.example ou essayé d'accéder à site2.example.
Qu'est-ce que Chrome prévoit de changer ?
Chrome protège les utilisateurs contre le suivi des rebonds en supprimant régulièrement l'état de ces sites de suivi. Le processus est le suivant:
- Chrome surveille les navigations et signale en interne les sites qui font partie d'un "rebond avec état". Cela signifie qu'une navigation est redirigée à travers le site et que l'état du site a été consulté pendant la redirection. Cela inclut à la fois les redirections initiées par le serveur et les redirections côté client pour lesquelles JavaScript déclenche une navigation de manière programmatique. L'accès à l'état inclut à la fois les cookies et d'autres types de stockage (localstorage, indexéDB, etc.).
- Chrome examine régulièrement la liste des sites signalés et vérifie si l'utilisateur a interagi avec le site de manière active au cours des 45 derniers jours. Cette interaction peut se produire avant, pendant ou après la détection du rebond.
- Si le site ne présente aucune interaction de l'utilisateur et que les cookies tiers sont bloqués, son état sera supprimé.
Nous espérons déployer ces modifications pour les utilisateurs qui ont accepté de bloquer les cookies tiers au début du troisième trimestre 2023.
Cela va-t-il interrompre d'autres flux de redirection ?
La vérification des interactions des utilisateurs vise à protéger les sites sans suivi contre toute suppression s'ils utilisent également un flux de redirection. Par exemple, l'authentification unique, l'authentification fédérée et les flux de paiement effectuent souvent ce type d'interactions. En conséquence, nous ne prévoyons pas d’impact sur l’authentification unique, l’authentification fédérée ou les flux de paiement. Par exemple, le fait de se connecter au fournisseur d'identité compte comme une interaction de l'utilisateur et empêche sa suppression.
Comment savoir si mon site est concerné ?
Vous pouvez tester les mesures d'atténuation du suivi des rebonds à l'aide de flags de fonctionnalité de Chrome version 115 (actuellement la dernière version de Canary):
- Créez un profil Chrome. Un profil existant que vous avez utilisé pour le développement Web peut comporter des interactions enregistrées sur le site de rebond, ce qui n'est pas forcément le cas pour les visiteurs de votre site Web.
- Définissez l'indicateur
chrome://flags/#bounce-tracking-mitigationssur "Activé avec suppression". - Activez le blocage des cookies tiers dans
chrome://settings/cookiesen sélectionnant "Bloquer les cookies tiers". - Effectuez un workflow impliquant des redirections.
- Ouvrez l'onglet Problèmes des outils pour les développeurs Chrome, puis recherchez un message intitulé "Chrome risque bientôt de supprimer l'état des sites Web intermédiaires dans une chaîne de navigation récente".
- Forcez la vérification de la suppression du suivi des rebonds en accédant au panneau de l'application DevTools, en cliquant sur Bounce Tracking Mitigations (Atténuation du suivi des rebonds) sous Background Services (Services d'arrière-plan), puis en appuyant sur Force Run (Forcer l'exécution). Vous pouvez également attendre jusqu'à deux heures pour que la suppression soit effective.
- Effectuez le workflow qui s'attendait à ce que l'état soit présent sur le site.
Par exemple, si à l'étape 4, vous consultez cette page de démonstration et que vous sélectionnez le lien "Envoyer une demande", vous devriez rencontrer un problème dans les outils de développement:
Capture d'écran du problème lié aux outils de développement
Ensuite, à l'étape 6, vous pouvez forcer la suppression immédiate à l'aide du panneau "Application" des outils de développement:
Panneau sur les mesures d'atténuation du suivi des rebonds dans les outils de développement.
Si vous retournez ensuite dans la démonstration et effectuez l'envoi de l'erreur, vous devriez voir un nouvel identifiant généré, car l'état a été effacé.
Cas d'utilisation en entreprise
Certaines entreprises utilisent des appareils gérés de manière à connecter automatiquement les utilisateurs à leur site SSO. Étant donné que l'utilisateur n'interagit pas avec le site utilisant l'authentification unique, Chrome peut considérer le site comme un outil de suivi des rebonds.
Afin de limiter ce problème, les entreprises peuvent activer les cookies tiers sur leur site SSO grâce aux règles relatives aux cookies. Ainsi, les mesures d'atténuation du suivi des rebonds ne seront pas appliquées pour ce site.
Commentaires
Vous pouvez envoyer des commentaires dans l'outil de suivi des bugs Chromium à l'aide du composant "Privacy>NavTracking". Vous pouvez également nous faire part de vos commentaires en tant que problème d'atténuation du suivi basé sur la navigation basée sur la navigation de la PrivacyCG du W3C.