W ramach naszych działań na rzecz poprawy ochrony prywatności w internecie zespół Chrome aktywnie pracuje nad zapobieganiem śledzeniu użytkowników w witrynach. Planujemy wprowadzić jeszcze w tym roku środki łagodzące, aby ograniczyć śledzenie za pomocą konkretnej techniki nazywanej „śledzeniem odrzuceń”.
Choć spodziewamy się, że te zmiany nie będą miały negatywnego wpływu na wiele witryn nieśledzących, chcielibyśmy zaprosić deweloperów do przetestowania tej nowej funkcji za pomocą flag funkcji i przekazania opinii na jej temat.
Co to jest śledzenie odrzuceń?
Śledzenie odrzuceń to technika, która umożliwia witrynie innej firmy przechowywanie pliku cookie nawet wtedy, gdy pliki cookie innych firm są zablokowane. Kod śledzenia innej firmy umieszczony na stronie może zostać wykorzystany do przekierowania użytkownika do witryny modułu śledzącego, gdzie można skonfigurować plik cookie, a następnie z powrotem na stronę oryginalną. To przekierowanie często zdarza się tak szybko, że użytkownik może nawet tego nie zauważyć.
Śledzenie odrzuceń może być prowadzone albo jako „odrzucenie” lub „odrzucenie”.
W obu przypadkach użytkownicy mogą nie wiedzieć, że odwiedzili stronę tracker.example
. Może myśleć, że odwiedził tylko site1.example
lub próbował przejść do: site2.example
.
Co zamierzamy zmienić w Chrome?
Chrome ma na celu ochronę użytkowników przed śledzeniem przekierowań, przez okresowe usuwanie stanu tych witryn śledzących. Proces będzie przebiegać w następujący sposób:
- Chrome będzie monitorować elementy nawigacyjne i wewnętrznie oznaczać witryny będące częścią „stanowego odrzucenia”. Oznacza to, że nastąpiło przekierowanie przez witrynę, a witryna uzyskała dostęp do niej podczas przekierowania. Obejmuje to zarówno przekierowania inicjowane przez serwer, jak i przekierowania po stronie klienta, w przypadku których JavaScript automatycznie uruchamia nawigację. Stan dostępu obejmuje zarówno pliki cookie, jak i inne rodzaje pamięci masowej, np. localstorage, CrawlDB itd.
- Chrome okresowo sprawdza listę oznaczonych witryn i sprawdza, czy użytkownik aktywnie korzystał z witryny, wchodząc z nią w interakcję w ciągu ostatnich 45 dni. Ta interakcja może wystąpić przed wykryciem odrzucenia, w jego trakcie lub po nim.
- Jeśli w witrynie nie ma interakcji z użytkownikiem, a pliki cookie innych firm są blokowane, jej stan zostanie usunięty.
Mamy nadzieję, że na początku III kwartału 2023 r. wprowadzimy te zmiany dla użytkowników, którzy wyrazili zgodę na blokowanie plików cookie innych firm.
Czy spowoduje to przerwanie innych przepływów przekierowania?
Kontrola interakcji użytkownika ma na celu ochronę przed usunięciem witryn, które nie są śledzone, w sytuacjach, gdy używają one przepływu przekierowań. Tego typu interakcje często wykonują na przykład logowanie jednokrotne, uwierzytelnianie sfederowane czy przepływy płatności. W związku z tym nie powinno to wpłynąć na działanie logowania jednokrotnego, uwierzytelniania sfederowanego ani przepływów płatności. Na przykład zalogowanie się w systemie dostawcy tożsamości jest liczone jako interakcja użytkownika i uniemożliwia usunięcie danych.
Jak mogę sprawdzić, czy ta zmiana ma wpływ na moją witrynę?
Łagodzenie śledzenia przekierowań jest dostępne do testowania za pomocą flag funkcji Chrome w wersji 115 (obecnie najnowszej wersji Canary):
- Utwórz nowy profil Chrome. W istniejącym profilu użytym do tworzenia stron internetowych mogą być rejestrowane interakcje z witryną odsyłającą, których typowy użytkownik nie doświadcza.
- Ustaw flagę na
chrome://flags/#bounce-tracking-mitigations
na „Włączono z usunięciem”. - Aby włączyć blokowanie plików cookie innych firm w
chrome://settings/cookies
, wybierz „Blokuj pliki cookie innych firm”. - Wykonaj przepływ pracy obejmujący przekierowania.
- Otwórz kartę Problemy w Narzędziach deweloperskich w Chrome i poszukaj komunikatu „Chrome może wkrótce usunąć stan w przypadku witryn pośrednich w najnowszym łańcuchu nawigacyjnym”.
- Wymuś sprawdzenie usunięcia śledzenia przekierowań, otwierając panel aplikacji Narzędzi deweloperskich, klikając Łagodzenie śledzenia przekierowań w sekcji Usługi w tle, a następnie naciskając Wymuś uruchomienie. Możesz też odczekać do dwóch godzin na ich usunięcie.
- Wykonaj przepływ pracy, który powinien mieć stan obecny w witrynie po odesłaniu.
Jeśli np. w kroku 4 otworzysz tę stronę demonstracyjną i wybierzesz link „Odrzuć mnie”, możesz spodziewać się problemu z Narzędziami deweloperskimi:
Następnie w kroku 6 możesz wymusić natychmiastowe usunięcie, korzystając z panelu aplikacji Narzędzi deweloperskich:
Jeśli ponownie otworzysz prezentację i wykonasz odrzucenie, powinien pojawić się nowy identyfikator, ponieważ stan został wyczyszczony.
Przypadki użycia w firmach
Niektóre przedsiębiorstwa korzystają z urządzeń zarządzanych w sposób, który automatycznie loguje użytkowników w witrynie logowania jednokrotnego. Ponieważ użytkownik nie wchodzi w interakcję z witryną SSO, Chrome może potraktować ją jako narzędzie do śledzenia odrzuceń.
Aby rozwiązać ten problem, firmy mogą użyć zasad dotyczących plików cookie, aby włączyć pliki cookie innych firm w witrynie SSO. Dzięki temu w tej witrynie nie będą stosowane środki łagodzące dla śledzenia przekierowań.
Prześlij opinię
Możesz przesłać opinię w narzędziu do śledzenia błędów Chromium, korzystając z komponentu „Prywatność > NavTracking”. Opinię można też przesłać jako problem z łagodzeniem śledzenia opartym na nawigacji w W3C PrivacyCG.