В рамках наших усилий по улучшению конфиденциальности в Интернете команда Chrome активно работает над предотвращением межсайтового отслеживания пользователей. Позднее в этом году мы планируем ввести меры по ограничению отслеживания с помощью особого метода, называемого «отслеживание отказов».
Хотя мы не ожидаем, что эти изменения окажут негативное влияние на многие сайты, не отслеживающие отслеживание, мы хотели бы предложить разработчикам протестировать эту новую функцию с помощью пометок функций и оставить отзыв.
Что такое отслеживание отказов?
Отслеживание отказов — это метод, который позволяет стороннему сайту сохранять файлы cookie, даже если сторонние файлы cookie заблокированы. Сторонний код отслеживания, включенный в страницу, может использоваться для перенаправления пользователя на сайт трекера, где может быть установлен файл cookie, а затем обратно на исходную страницу. Это перенаправление часто может происходить так быстро, что пользователь может даже не заметить.
Отслеживание отказов может осуществляться либо как «отскок назад», либо как «отскок».
Отслеживание возврата.
Отказы через отслеживание.
В обоих случаях пользователи могут не знать, что посетили tracker.example . Они могут полагать, что посетили только site1.example или попытались перейти на site2.example .
Что Chrome планирует изменить?
Chrome намерен защитить пользователей от отслеживания отказов, периодически удаляя состояние этих сайтов отслеживания. Процесс будет работать следующим образом:
- Chrome будет отслеживать навигацию и внутренне помечать сайты, которые являются частью «возврата с сохранением состояния». Это означает, что навигация перенаправляется через сайт и что сайт получает доступ к состоянию во время перенаправления. Сюда входят как перенаправления, инициируемые сервером, так и перенаправления на стороне клиента, когда JavaScript программно запускает навигацию. Состояние доступа включает в себя как файлы cookie, так и другие типы хранения; например, localstorage, indexedDB и т. д.
- Chrome будет периодически проверять список помеченных сайтов и проверять, активно ли пользователь использовал сайт, взаимодействуя с ним в течение последних 45 дней. Это взаимодействие может происходить до, во время или после обнаружения отскока.
- Если на сайте нет взаимодействия с пользователем и сторонние файлы cookie заблокированы, то его состояние будет удалено.
Мы надеемся представить эти изменения для пользователей, которые согласились блокировать сторонние файлы cookie, в начале третьего квартала 2023 года.
Нарушит ли это другие потоки перенаправления?
Проверка взаимодействия с пользователем предназначена для защиты неотслеживаемых сайтов от удаления в случаях, когда они также используют поток перенаправления. Например, такие взаимодействия часто выполняются при едином входе, федеративной аутентификации и потоках платежей. Соответственно, мы не ожидаем, что это повлияет на единый вход, федеративную аутентификацию или потоки платежей. Однако, например, вход в систему поставщика удостоверений считается взаимодействием с пользователем и предотвращает удаление.
Как я могу определить, затронут ли мой сайт?
Меры по устранению последствий отслеживания отказов доступны для тестирования с помощью флагов функций Chrome версии 115 (на данный момент это последняя версия Canary ):
- Создайте новый профиль Chrome . В существующем профиле, который вы использовали для веб-разработки, на сайте возврата могут регистрироваться взаимодействия, с которыми обычные пользователи вашего веб-сайта могут не сталкиваться.
- Установите для флага
chrome://flags/#bounce-tracking-mitigationsзначение «Включено с удалением». - Включите блокировку сторонних файлов cookie в
chrome://settings/cookies, выбрав «Блокировать сторонние файлы cookie». - Выполните рабочий процесс, включающий перенаправления.
- Откройте вкладку «Проблемы Chrome DevTools» и найдите сообщение под названием «Chrome может вскоре удалить состояние промежуточных веб-сайтов в последней цепочке навигации».
- Принудительно выполните проверку удаления отслеживания отказов, перейдя на панель приложений DevTools, щелкнув «Средства по устранению последствий отслеживания отказов» в разделе «Фоновые службы» , а затем нажав «Принудительно выполнить» . Альтернативно, вы можете подождать до двух часов, пока произойдет удаление.
- Выполните рабочий процесс, который предполагает, что состояние, присутствующее на сайте, будет возвращено.
Например, если на шаге (4) вы посетите эту демонстрационную страницу и выберете ссылку «Отправить мне», то вы можете ожидать появления проблемы с DevTools:
Скриншот проблемы с DevTools.
Затем на шаге 6 вы можете принудительно выполнить удаление немедленно с помощью панели приложений DevTools:
Панель DevTools для отслеживания отказов.
Если вы затем снова посетите демо-версию и выполните возврат, вы должны увидеть новый идентификатор, созданный, поскольку состояние было очищено.
Варианты корпоративного использования
Некоторые предприятия используют управляемые устройства таким образом, что пользователи автоматически регистрируются на своем сайте SSO . Поскольку пользователь не взаимодействует с сайтом единого входа, Chrome может рассматривать этот сайт как средство отслеживания отказов.
Чтобы решить эту проблему, предприятия могут использовать политики файлов cookie , чтобы включить сторонние файлы cookie для сайта SSO. Это предотвратит вступление в силу средств отслеживания отказов для этого сайта.
Обратная связь
Вы можете оставить отзыв в системе отслеживания ошибок Chromium , используя компонент «Конфиденциальность>NavTracking». Отзыв также можно оставить как проблему предотвращения отслеживания на основе навигации W3C PrivacyCG .