Im Rahmen unserer Bemühungen, den Datenschutz im Web zu verbessern, arbeitet das Chrome-Team aktiv daran, websiteübergreifendes Tracking von Nutzern zu verhindern. Wir planen, im Laufe des Jahres Abhilfemaßnahmen einzuführen, um das Tracking über eine bestimmte Technik namens „Bounce-Tracking“ einzuschränken.
Wir gehen nicht davon aus, dass diese Änderungen viele Websites ohne Tracking beeinträchtigen werden. Wir möchten Entwickler jedoch einladen, diese neue Funktion mit Funktions-Flags zu testen und Feedback zu geben.
Was ist Bounce-Tracking?
Mit dem Bounce-Tracking können Websites von Drittanbietern ein Cookie auch dann speichern, wenn Drittanbieter-Cookies blockiert werden. Mit einem Drittanbieter-Tracking-Code auf einer Seite kann ein Nutzer auf die Website eines Trackers weitergeleitet werden, wo ein Cookie gesetzt werden kann und dann zurück zur ursprünglichen Seite. Diese Weiterleitung kann häufig so schnell erfolgen, dass der Nutzer dies möglicherweise gar nicht bemerkt.
Bounce-Tracking kann entweder als „Bounce“ oder als „Bounce“ erfolgen.
In beiden Fällen wissen die Nutzer möglicherweise nicht, dass sie tracker.example
besucht haben. Möglicherweise glaubt sie, dass sie nur site1.example
besucht oder versucht haben, site2.example
aufzurufen.
Was ändert sich bei Chrome?
Chrome möchte Nutzer vor Bounce-Tracking schützen, indem der Status dieser Tracking-Websites regelmäßig gelöscht wird. Der Vorgang läuft so ab:
- Chrome überwacht die Navigation und meldet intern Websites, die Teil eines „zustandsorientierten Absprungs“ sind. Dies bedeutet, dass eine Navigation durch die Website umgeleitet wird und dass die Website während der Weiterleitung auf den Status zugegriffen hat. Dazu gehören sowohl serverseitige als auch clientseitige Weiterleitungen, bei denen JavaScript eine Navigation programmatisch auslöst. Der Zugriff auf den Status umfasst sowohl Cookies als auch andere Speichertypen, z. B. „localstorage“, „indexedDB“ usw.
- Chrome überprüft regelmäßig die Liste der gemeldeten Websites und prüft, ob der Nutzer in den letzten 45 Tagen aktiv mit der Website interagiert hat. Diese Interaktion kann vor, während oder nach dem Absprung erfolgen.
- Wenn die Website keine Nutzerinteraktion aufweist und Drittanbieter-Cookies blockiert werden, wird ihr Status gelöscht.
Wir hoffen, diese Änderungen zu Beginn des 3. Quartals 2023 für Nutzer einzuführen, die der Blockierung von Drittanbieter-Cookies zugestimmt haben.
Werden dadurch andere Weiterleitungsabläufe unterbrochen?
Mit der Prüfung der Nutzerinteraktion soll verhindert werden, dass Websites, die kein Tracking sind, gelöscht werden, falls sie auch einen Weiterleitungsfluss verwenden. Solche Interaktionen werden beispielsweise häufig bei SSO, Verbundauthentifizierung und Zahlungsabläufen ausgeführt. Die Einmalanmeldung (SSO), die föderierte Authentifizierung oder der Zahlungsfluss sollte daher nicht beeinträchtigt werden. Beispielsweise zählt die Anmeldung beim Identitätsanbieter jedoch als Nutzerinteraktion und verhindert das Löschen.
Wie kann ich feststellen, ob meine Website betroffen ist?
Die Eindämmung von Bounce-Tracking kann mit Funktions-Flags aus Chrome-Version 115 (derzeit die aktuelle Canary-Version) getestet werden:
- Erstellen Sie ein neues Chrome-Profil. Möglicherweise sind in einem Profil, das Sie für die Webentwicklung verwendet haben, Interaktionen auf der Absprung-Website protokolliert, die für Besucher Ihrer Website normalerweise nicht sichtbar sind.
- Setzen Sie das Flag bei
chrome://flags/#bounce-tracking-mitigations
auf „Mit Löschung aktiviert“. - Aktivieren Sie das Blockieren von Drittanbieter-Cookies in
chrome://settings/cookies
, indem Sie „Drittanbieter-Cookies blockieren“ auswählen. - Führen Sie den Workflow aus, der Weiterleitungen umfasst.
- Öffnen Sie den Tab „Probleme“ in den Chrome-Entwicklertools und suchen Sie nach einer Meldung mit dem Betreff „Chrome löscht möglicherweise bald den Status für Zwischenwebsites in einer aktuellen Navigationskette“.
- Erzwingen Sie die Löschprüfung der Bounce-Tracking-Funktion, indem Sie im Entwicklertools-Anwendungsbereich unter Hintergrunddienste auf Eindämmung von Bounce-Tracking klicken und dann Ausführung erzwingen auswählen. Alternativ können Sie bis zu zwei Stunden warten, bis der Löschvorgang abgeschlossen ist.
- Führen Sie den Workflow aus, für den ein Status auf der Website erwartet wird.
Wenn Sie beispielsweise in Schritt 4 diese Demoseite aufrufen und auf den Link „Bounce me“ klicken, wird möglicherweise ein Problem mit den Entwicklertools angezeigt:
Anschließend können Sie in Schritt 6 im Anwendungsbereich der Entwicklertools erzwingen, dass der Löschvorgang sofort durchgeführt wird:
Wenn Sie dann die Demo aufrufen und den Bounce ausführen, sollten Sie eine neue Kennung sehen, die generiert wurde, weil der Status gelöscht wurde.
Anwendungsfälle für Unternehmen
Einige Unternehmen verwenden verwaltete Geräte so, dass Nutzer automatisch auf ihrer SSO-Website angemeldet werden. Da der Nutzer nicht mit der SSO-Website interagiert, kann dies dazu führen, dass Chrome die Website als Bounce-Tracker behandelt.
Unternehmen können deshalb mithilfe von Cookie-Richtlinien Drittanbieter-Cookies für die SSO-Website aktivieren. Dadurch wird verhindert, dass Maßnahmen zur Eindämmung von Bounce-Tracking für diese Website wirksam werden.
Feedback
Sie können über die Komponente „Datenschutz > NavTracking“ im Chromium-Tracker für Programmfehler Feedback geben. Feedback kann auch als Problem im Zusammenhang mit der Eindämmung von Tracking gemäß dem W3C PrivacyCG gesendet werden.