Como parte dos nossos esforços para melhorar a privacidade na Web, a equipe do Chrome está trabalhando ativamente para impedir o rastreamento de usuários entre sites. Planejamos lançar mitigações para limitar o rastreamento com uma técnica específica chamada "rastreamento de rejeição" ainda este ano.
Não esperamos que muitos sites sem rastreamento sejam afetados negativamente por essas mudanças, mas gostaríamos de convidar os desenvolvedores a testar esse novo recurso com sinalizações de recursos e enviar feedback.
O que é rastreamento de rejeições?
O rastreamento de rejeições é uma técnica que permite que um site de terceiros armazene um cookie mesmo quando cookies de terceiros estiverem bloqueados. O código de acompanhamento de terceiros incluído em uma página pode ser usado para redirecionar um usuário para o site de um rastreador, onde um cookie pode ser definido, e depois para a página original. Esse redirecionamento pode ocorrer tão rapidamente que o usuário nem percebe.
O rastreio das rejeições pode ser feito como uma "rejeição" ou como uma "rejeição".
Em ambos os casos, os usuários podem não saber que visitaram tracker.example
. Talvez eles acreditem que só visitaram site1.example
ou tentaram navegar para site2.example
.
O que o Chrome planeja mudar?
O Chrome pretende excluir periodicamente o estado desses sites de rastreamento para proteger os usuários contra o rastreamento de rejeições. O processo vai funcionar da seguinte maneira:
- O Chrome vai monitorar as navegações e sinalizar internamente os sites que fazem parte de uma "rejeição com estado". Isso significa que uma navegação foi redirecionada pelo site e que o site acessou o estado durante o redirecionamento. Isso inclui redirecionamentos iniciados pelo servidor e redirecionamentos do lado do cliente em que o JavaScript aciona uma navegação de forma programática. O acesso ao estado inclui cookies e outros tipos de armazenamento, por exemplo, localstorage, IndexingDB e assim por diante.
- O Chrome examina periodicamente a lista de sites sinalizados e verifica se o usuário utilizou ativamente o site interagindo com ele nos últimos 45 dias. Essa interação pode ocorrer antes, durante ou depois da detecção da rejeição.
- Se o site não tiver nenhuma interação do usuário e os cookies de terceiros forem bloqueados, o estado dele será excluído.
Esperamos lançar essas mudanças para os usuários que optaram por bloquear cookies de terceiros no início do terceiro trimestre de 2023.
Isso vai interromper outros fluxos de redirecionamento?
A verificação de interação do usuário tem como objetivo proteger a exclusão de sites que não são de rastreamento nos casos em que eles também usam um fluxo de redirecionamento. Por exemplo, SSO, autenticação federada e fluxos de pagamento geralmente realizam esses tipos de interações. Dessa forma, não esperamos que o SSO, a autenticação federada ou os fluxos de pagamentos sejam afetados. Por exemplo, o ato de fazer login no provedor de identidade, no entanto, conta como uma interação do usuário e impede a exclusão.
Como saber se meu site será afetado?
As mitigações de rastreio por redirecionamento estão disponíveis para teste com flags de recursos do Chrome versão 115 (atualmente o Canary mais recente):
- Crie um novo perfil do Chrome. Um perfil existente que você usou para desenvolvimento da web pode ter interações registradas no site de devolução que os usuários típicos do seu site podem não ver.
- Defina a sinalização em
chrome://flags/#bounce-tracking-mitigations
como "Ativado com exclusão". - Selecione "Bloquear cookies de terceiros" para ativar o bloqueio de cookies de terceiros no app
chrome://settings/cookies
. - Executar um fluxo de trabalho que envolva redirecionamentos.
- Abra a guia "Problemas" do Chrome DevTools e procure uma mensagem intitulada "O Chrome pode excluir o estado de sites intermediários em uma cadeia de navegação recente".
- Para forçar a verificação de exclusão de rastreio por redirecionamento, acesse o painel do aplicativo do DevTools, clique em Bounce Tracking Mitigations em Background Services e, em seguida, pressione Force Run. Alternativamente, você pode esperar até duas horas para que a exclusão ocorra.
- Executar o fluxo de trabalho esperado para ter o estado presente no site rejeitado.
Por exemplo, se na etapa (4) você acessar esta página de demonstração e clicar no link "devolver para mim", vai aparecer um problema do DevTools:
Em seguida, na etapa 6, você pode forçar a exclusão para ocorrer imediatamente usando o painel Application do DevTools:
Se você acessar novamente a demonstração e fizer a devolução, um novo identificador será exibido porque o estado foi apagado.
Casos de uso empresariais
Algumas empresas usam dispositivos gerenciados de uma forma que conecta os usuários automaticamente ao site de SSO. Como o usuário não interage com o site de SSO, o Chrome pode tratar o site como um rastreador de rejeições.
Para amenizar esse problema, as empresas podem usar políticas de cookies para ativar cookies de terceiros no site de SSO. Isso vai impedir que mitigações de rastreamento de rejeições sejam aplicadas a esse site.
Feedback
Use o componente "Privacy>NavTracking" para enviar feedback no rastreador de bugs do Chromium. Você também pode deixar um feedback como problema de mitigações de rastreamento com base na navegação do W3C PrivacyCG.