バウンス トラッキング対策をテストする

Ben Kelly
Ben Kelly
Anusmita Ray
Anusmita Ray

ウェブ上のプライバシーを向上させる取り組みの一環として、Chrome チームはユーザーのクロスサイト トラッキング防止に積極的に取り組んできました。今年後半には、「バウンス トラッキング」と呼ばれる特定の手法によるトラッキングを制限する緩和策をリリースする予定です。

トラッキングを行っていない多くのサイトが今回の変更によって悪影響を受けることはないと予想されますが、機能フラグを使用してこの新機能をテストし、フィードバックをお寄せいただければ幸いです。

バウンス トラッキングとは

バウンス トラッキングとは、サードパーティ Cookie がブロックされていても、サードパーティ サイトが Cookie を保存できるようにする技術です。ページに含まれる第三者トラッキング コードを使用して、ユーザーをトラッカー サイトにリダイレクトし、そこで Cookie を設定してから元のページに戻すことができます。このリダイレクトは短時間で完了し、ユーザーが気付かないこともあります。

バウンス トラッキングには、「直帰」と「直帰」があります。

site1.example が tracker.example にリダイレクトし、Cookie にアクセスしてから元のサイトにリダイレクトするバウンスバックの例を示しています。

バウンス バック トラッキング。

site1.example が Tracking.example. Cookie にリダイレクトし、その後 site2.example にリダイレクトする直帰の例を示しています。

トラッキングによる直帰

どちらの場合も、ユーザーは tracker.example にアクセスしたことに気づかない可能性があります。site1.example しか訪れたことがないか、site2.example に移動しようとしただけである可能性があります。

Chrome で予定されている変更

Chrome では、バウンス トラッキング サイトの状態を定期的に削除することで、バウンス トラッキングからユーザーを保護することを目的としています。プロセスは次のとおりです。

  1. Chrome はナビゲーションを監視し、「ステートフル バウンス」の一部であるサイトに内部でフラグを立てます。つまり、ナビゲーションがサイトを介してリダイレクトされ、リダイレクト中にサイトがアクセスした状態を表します。これには、サーバー側で開始されるリダイレクトと、JavaScript がプログラムでナビゲーションをトリガーするクライアント側のリダイレクトの両方が含まれます。アクセス状態には、Cookie と他の種類のストレージ(localstorage、indexDB など)の両方が含まれます。
  2. Chrome はフラグが付けられたサイトのリストを定期的にチェックし、ユーザーが過去 45 日以内にサイトを操作して積極的に使用したかどうかを確認します。このインタラクションは、バウンスが検出される前、途中、または後に発生する可能性があります。
  3. サイトでユーザー操作がなく、サードパーティの Cookie がブロックされている場合、その状態は削除されます。

今回の変更は、2023 年第 3 四半期の初めにサードパーティ Cookie のブロックを有効にしているユーザーに適用されます。

これによって他のリダイレクト フローが中断されますか?

ユーザー操作の確認は、トラッキングしないサイトがリダイレクト フローも使用している場合に、そのサイトが削除されないようにすることを目的としています。たとえば、SSO、フェデレーション認証、支払いフローでは、このようなやり取りが行われることがよくあります。したがって、SSO、フェデレーション認証、支払いフローへの影響はありません。たとえば、ID プロバイダにログインする操作はユーザーの操作としてカウントされ、削除できなくなります。

サイトが影響を受けるかどうかを確認するにはどうすればよいですか?

バウンス トラッキング対策は、Chrome バージョン 115(現在は最新の Canary)の機能フラグを使用してテストできます。

  1. 新しい Chrome プロフィールを作成します。ウェブ開発に使用した既存のプロファイルでは、一般的なウェブサイトのユーザーが経験しないようなバウンスサイトで操作が記録されている場合があります。
  2. chrome://flags/#bounce-tracking-mitigationsフラグを「Enabled With Deletion」に設定します。
  3. [サードパーティの Cookie をブロックする] を選択すると、chrome://settings/cookies でサードパーティ Cookie のブロックが有効になります。
  4. リダイレクトを含むワークフローを実行します。
  5. Chrome DevTools の [Issues] タブを開き、「Chrome は最近のナビゲーション チェーンの中間ウェブサイトの状態をまもなく削除します」というメッセージを探します。
  6. DevTools の [Application] パネルに移動し、[Background Services] の下の [Bounce Tracking Mitigations] をクリックして [Force Run] をクリックして、バウンス トラッキング削除チェックを強制的に実行します。また、削除が完了するまでに最大 2 時間待つこともできます。
  7. サイトに存在する状態がバウンスされるであろうワークフローを実行します。

たとえば、ステップ(4)でこちらのデモページにアクセスして [bounce me] リンクを選択すると、DevTools の問題が発生します。

bounce-tracking-demo-tracker.glitch.me が削除されるリスクがあることを示す、DevTools の問題のスクリーンショット。

DevTools の問題のスクリーンショット。

次に、ステップ 6 で、DevTools の [Application Panel] を使用して、削除を直ちに強制的に実行できます。

バウンス トラッキング対策パネルが選択された DevTools アプリケーション タブのスクリーンショット。パネルには、強制実行オペレーションが使用され、デモサイトのストレージが削除されたことが示されます。

DevTools の [バウンス トラッキングの緩和] パネル。

その後、デモに戻ってバウンスを行うと、状態がクリアされたため、新しい識別子が生成されていることがわかります。

企業のユースケース

一部の企業では、ユーザーを SSO サイトに自動的にログインする方法で管理対象デバイスを使用しています。ユーザーは SSO サイトとやり取りしないため、Chrome でそのサイトがバウンス トラッカーとして扱われる可能性があります。

この問題を軽減するには、Cookie ポリシーを使用して SSO サイトに対してサードパーティ Cookie を有効にします。これにより、そのサイトに対してバウンス トラッキング対策が適用されなくなります。

フィードバック

フィードバックは、Chromium バグトラッカーで [Privacy] > [NavTracking] コンポーネントを使用して送信できます。フィードバックは、W3C PrivacyCG Navigation-based Tracking Mitigations 問題として送信することもできます。