Als onderdeel van onze inspanningen om de privacy op internet te verbeteren, heeft het Chrome-team actief gewerkt aan het voorkomen van cross-site tracking van gebruikers. We zijn van plan om later dit jaar maatregelen te nemen om het volgen van een bepaalde techniek genaamd 'bounce tracking' te beperken.
Hoewel we niet verwachten dat veel niet-trackingsites nadelige gevolgen zullen ondervinden van deze wijzigingen, willen we ontwikkelaars graag uitnodigen om deze nieuwe functie met functievlaggen te testen en feedback te geven.
Wat is bouncetracking?
Bounce-tracking is een techniek waarmee een site van derden een cookie kan opslaan, zelfs als cookies van derden zijn geblokkeerd. Trackingcode van derden die op een pagina is opgenomen, kan worden gebruikt om een gebruiker om te leiden naar de site van een tracker, waar een cookie kan worden geplaatst, en vervolgens terug te keren naar de oorspronkelijke pagina. Deze omleiding kan vaak zo snel gebeuren dat een gebruiker het misschien niet eens merkt.
Bounce-tracking kan worden gedaan als een "bounce back" of als een "bounce through".
In beide gevallen zijn gebruikers zich er mogelijk niet van bewust dat ze tracker.example
hebben bezocht. Ze denken misschien dat ze alleen site1.example
hebben bezocht of hebben geprobeerd naar site2.example
te navigeren.
Wat wil Chrome veranderen?
Chrome is van plan gebruikers te beschermen tegen het volgen van bounces door periodiek de status van deze trackingsites te verwijderen. Het proces werkt als volgt:
- Chrome houdt de navigatie in de gaten en markeert intern sites die deel uitmaken van een ‘stateful bounce’. Dit betekent dat een navigatie wordt omgeleid via de site, en dat de bezochte site tijdens de omleiding wordt bezocht. Dit omvat zowel door de server geïnitieerde omleidingen als omleidingen aan de clientzijde waarbij JavaScript programmatisch een navigatie activeert. De toegangsstatus omvat zowel cookies als andere soorten opslag; bijvoorbeeld localstorage, indexedDB, enzovoort.
- Chrome onderzoekt periodiek de lijst met gemarkeerde sites en controleert of de gebruiker de site actief heeft gebruikt door er in de afgelopen 45 dagen interactie mee te hebben gehad. Deze interactie kan plaatsvinden vóór, tijdens of nadat de bounce is gedetecteerd.
- Als de site geen gebruikersinteractie heeft en cookies van derden worden geblokkeerd, wordt de status ervan verwijderd.
We hopen deze wijzigingen begin Q3 2023 door te voeren voor gebruikers die zich hebben aangemeld voor het blokkeren van cookies van derden.
Zal dit andere omleidingsstromen doorbreken?
De gebruikersinteractiecontrole is bedoeld om niet-trackingsites te beschermen tegen verwijdering in gevallen waarin ze ook een omleidingsstroom gebruiken. SSO, federatieve authenticatie en betalingsstromen voeren bijvoorbeeld vaak dit soort interacties uit. Daarom verwachten we niet dat SSO, federatieve authenticatie of betalingsstromen hierdoor worden beïnvloed. Het inloggen bij de identiteitsprovider telt bijvoorbeeld als een gebruikersinteractie en voorkomt verwijdering.
Hoe weet ik of mijn site getroffen is?
Er zijn oplossingen voor het bijhouden van bounces beschikbaar om te testen met functievlaggen van Chrome-versie 115 (momenteel de nieuwste Canary ):
- Maak een nieuw Chrome-profiel . Een bestaand profiel dat u voor webontwikkeling heeft gebruikt, heeft mogelijk interacties geregistreerd op de bounce-site die uw typische websitegebruikers mogelijk niet ervaren.
- Stel de vlag op
chrome://flags/#bounce-tracking-mitigations
in op 'Ingeschakeld met verwijdering'. - Schakel het blokkeren van cookies van derden in
chrome://settings/cookies
door 'Cookies van derden blokkeren' te selecteren. - Voer uw workflow uit waarbij omleidingen betrokken zijn.
- Open het tabblad Problemen met Chrome DevTools en zoek naar een bericht met de titel 'Chrome kan binnenkort de status verwijderen voor tussenliggende websites in een recente navigatieketen'.
- Forceer de verwijderingscontrole voor het bijhouden van bounces door naar het DevTools-toepassingspaneel te gaan, te klikken op Mitigaties voor het bijhouden van bounces onder Achtergrondservices en vervolgens op Force Run te drukken. Als alternatief kunt u maximaal twee uur wachten voordat de verwijdering plaatsvindt.
- Voer uw workflow uit waarvan u verwacht dat deze op de site aanwezig is.
Als u bijvoorbeeld in stap (4) deze demopagina bezoekt en de link 'bounce me' selecteert, kunt u een DevTools-probleem verwachten:
Vervolgens kunt u in stap 6 forceren dat de verwijdering onmiddellijk plaatsvindt door het DevTools-toepassingspaneel te gebruiken:
Als u vervolgens de demo opnieuw bezoekt en de bounce uitvoert, zou u een nieuwe identificatie moeten zien verschijnen omdat de status is gewist.
Gebruiksscenario's voor ondernemingen
Sommige bedrijven gebruiken beheerde apparaten op een manier die gebruikers automatisch aanmeldt bij hun SSO-site . Omdat de gebruiker geen interactie heeft met de SSO-site, kan dit ertoe leiden dat Chrome de site als een bouncetracker behandelt.
Om dit probleem te verhelpen kunnen bedrijven een cookiebeleid gebruiken om cookies van derden voor de SSO-site in te schakelen. Hierdoor wordt voorkomen dat de maatregelen voor het volgen van bounces van kracht worden voor die site.
Feedback
U kunt feedback geven in de Chromium-bugtracker met behulp van de component 'Privacy>NavTracking'. Feedback kan ook worden achtergelaten als een W3C PrivacyCG Navigation-based Tracking Mitigations-probleem .