Nell'ambito del nostro impegno volto a migliorare la privacy sul web, il team di Chrome sta lavorando attivamente per impedire il monitoraggio degli utenti tra siti. Prevediamo di lanciare delle mitigazioni per limitare il monitoraggio da parte di una particolare tecnica chiamata "monitoraggio dei rimbalzo" entro la fine dell'anno.
Anche se non prevediamo che molti siti non di monitoraggio saranno interessati da queste modifiche, vorremmo invitare gli sviluppatori a testare questa nuova funzionalità con flag funzionalità e a fornire un feedback.
Che cos'è il monitoraggio del rimbalzo?
Il monitoraggio del rimbalzo è una tecnica che consente a un sito di terze parti di memorizzare un cookie anche quando i cookie di terze parti sono bloccati. Il codice di monitoraggio di terze parti incluso in una pagina può essere utilizzato per reindirizzare un utente al sito di un tracker, dove è possibile impostare un cookie, quindi tornare alla pagina originale. Spesso questo reindirizzamento può avvenire così rapidamente che un utente potrebbe anche non accorgersi.
Il monitoraggio del rimbalzo può essere eseguito come "rimbalzo" o "rimbalzo attraverso".
Monitoraggio del rimbalzo.
Rimbalzo attraverso il monitoraggio.
In entrambi i casi, gli utenti possono non sapere di aver visitato tracker.example. Potrebbe credere di aver visitato solo site1.example o aver provato a raggiungere site2.example.
Cosa cambierà in Chrome?
Chrome intende proteggere gli utenti dal monitoraggio del rimbalzo eliminando periodicamente lo stato di questi siti di monitoraggio. La procedura funziona nel seguente modo:
- Chrome monitorerà le navigazioni e segnalerà internamente i siti che fanno parte di un "Bounce stateful". Ciò significa che una navigazione reindirizzata attraverso il sito, che viene visualizzato durante il reindirizzamento. Sono inclusi sia i reindirizzamenti avviati dal server e quelli lato client in cui JavaScript attiva in modo programmatico una navigazione. L'accesso allo stato include sia i cookie che altri tipi di archiviazione, ad esempio localstorage, indexDB e così via.
- Chrome esamina periodicamente l'elenco dei siti segnalati e controlla se l'utente ha utilizzato attivamente il sito interagendo con il sito negli ultimi 45 giorni. Questa interazione può verificarsi prima, durante o dopo il rilevamento del rimbalzo.
- Se il sito non consente alcuna interazione da parte dell'utente e i cookie di terze parti sono bloccati, il suo stato verrà eliminato.
Ci auguriamo di lanciare queste modifiche per gli utenti che hanno attivato il blocco dei cookie di terze parti all'inizio del terzo trimestre del 2023.
Questa operazione interromperà altri flussi di reindirizzamento?
Il controllo dell'interazione dell'utente ha lo scopo di proteggere dall'eliminazione i siti non di monitoraggio nei casi in cui utilizzino anche un flusso di reindirizzamento. Ad esempio, SSO, autenticazione federata e flussi di pagamento spesso eseguono questo tipo di interazioni. Di conseguenza, non prevediamo che siano interessati i flussi SSO, l'autenticazione federata o i flussi di pagamento. Ad esempio, l'atto di accesso al provider di identità, tuttavia, viene conteggiato come un'interazione dell'utente e impedisce l'eliminazione.
Come faccio a capire se il mio sito è interessato?
Le mitigazioni del monitoraggio del rimbalzo sono disponibili per il test con i flag funzionalità della versione 115 di Chrome (attualmente la versione più recente di Canary):
- Crea un nuovo profilo Chrome. In un profilo esistente che hai utilizzato per lo sviluppo web potrebbero essere registrate interazioni sul sito di rimbalzo che gli utenti tipici del tuo sito web potrebbero non provare.
- Imposta il flag su
chrome://flags/#bounce-tracking-mitigationssu "Attivato con l'eliminazione". - Attiva il blocco dei cookie di terze parti in
chrome://settings/cookiesselezionando "Blocca cookie di terze parti". - Esegui un flusso di lavoro che prevede reindirizzamenti.
- Apri la scheda Problemi di Chrome DevTools e cerca il messaggio "A breve Chrome potrebbe eliminare lo stato per i siti web intermedi in una catena di navigazione recente".
- Per forzare l'esecuzione del controllo di eliminazione del monitoraggio del rimbalzo, vai al riquadro dell'applicazione DevTools, fai clic su Mitigazioni del monitoraggio del rimbalzo in Servizi in background, quindi premi Forza esecuzione. In alternativa, puoi attendere fino a due ore prima che venga eseguita l'eliminazione.
- Esegui il flusso di lavoro che prevede che lo stato sia presente sul sito.
Ad esempio, se nel passaggio (4) visiti questa pagina demo e selezioni il link "rimbalzi", potresti vedere un problema di DevTools:
Screenshot del problema DevTools.
Nel passaggio 6 puoi quindi forzare l'eliminazione immediata utilizzando il riquadro dell'applicazione DevTools:
Riquadro Mitigazioni del monitoraggio del rimbalzo di DevTools.
Se poi rivedi la demo ed esegui il rimbalzo, dovresti vedere un nuovo identificatore generato perché lo stato è stato cancellato.
Casi d'uso aziendali
Alcune aziende utilizzano i dispositivi gestiti in modo da accedere automaticamente gli utenti al proprio sito SSO. Poiché l'utente non interagisce con il sito dell'SSO, Chrome potrebbe considerare il sito come un tracker del rimbalzo.
Per limitare questo problema, le aziende possono utilizzare le norme sui cookie per attivare i cookie di terze parti per il sito SSO. In questo modo, le mitigazioni del monitoraggio del rimbalzo non verranno applicate al sito in questione.
Feedback
Puoi fornire un feedback nel tracker dei bug di Chromium utilizzando il componente "Privacy>NavTracking". Il feedback può anche essere lasciato come problema di mitigazione del monitoraggio basato sulla navigazione basato sulla navigazione di W3C PrivacyCG.