Mitigazioni del monitoraggio del rimbalzo

Stato implementazione

Il presente documento illustra i dettagli sull'implementazione delle misure di mitigazione del monitoraggio del rimbalzo.

• Le mitigazioni del monitoraggio del rimbalzo sono state lanciate per impostazione predefinita in Chrome per gli utenti che hanno attivato il blocco dei cookie di terze parti. Se hai feedback, ci piacerebbe conoscere la tua opinione.
• Stato della piattaforma Chrome.

La cronologia di Privacy Sandbox fornisce le tempistiche di implementazione per la mitigazione del monitoraggio del rimbalzo e per altre proposte di Privacy Sandbox.

Perché abbiamo bisogno di questa proposta?

I fornitori di browser stanno ora rimuovendo attivamente i cookie di terze parti dal web. Di conseguenza, alcuni strumenti di monitoraggio delle piattaforme stanno introducendo il monitoraggio del rimbalzo.

La proposta di mitigazione del monitoraggio del rimbalzo mira a:

• Riduci o elimina la capacità del monitoraggio del rimbalzo per riconoscere le persone in vari contesti.
• Impedisci ai rimbalzi stateful di simulare i cookie di terze parti quando questi ultimi sono disabilitati a causa dei criteri del browser o delle impostazioni utente.
• Evita di interrompere i casi d'uso supportati che sono importanti per l'utente e che sono implementati utilizzando reindirizzamenti stateful.
• Riduci l'impatto dei domini di breve durata che potrebbero non essere adeguatamente gestiti da altri interventi sulla privacy che si basano sulle liste bloccate.
• Evita di utilizzare liste di blocco o autorizzazioni per decidere quali siti web sono interessati.

Come funzioneranno le mitigazioni del monitoraggio del rimbalzo?

La nostra proposta tratterà il monitoraggio del rimbalzo nei seguenti casi d'uso:

• Simulazione di cookie di terze parti: siti che utilizzano il reindirizzamento a un tracker di terze parti per creare impostazioni del browser per l'esclusione dei cookie. Per limitare il problema, il browser potrebbe cancellare lo spazio di archiviazione del dominio del tracker.
• Reindirizzamento in uscita: siti che reindirizzano tutti i link in uscita tramite un dominio di monitoraggio. Per limitare il problema, il browser potrebbe cancellare lo spazio di archiviazione del dominio del tracker.

Chrome intende proteggere gli utenti dal monitoraggio del rimbalzo eliminando periodicamente lo stato di questi siti di monitoraggio. La procedura funziona nel seguente modo:

1. Chrome monitorerà le navigazioni e segnalerà internamente i siti che fanno parte di un "rimbalzo stateful". Ciò significa che la navigazione è stata reindirizzata tramite il sito e che il sito ha eseguito l'accesso allo spazio di archiviazione durante il reindirizzamento. Sono inclusi sia i reindirizzamenti avviati dal server sia quelli lato client in cui JavaScript attiva in modo programmatico una navigazione. L'accesso allo spazio di archiviazione include sia i cookie che altri tipi di archiviazione, come ad esempio localstorage e indicizzatoDB.
2. Chrome esamina periodicamente l'elenco dei siti segnalati e verifica se l'utente ha utilizzato attivamente il sito interagendo con il sito negli ultimi 45 giorni. Questa interazione può avvenire prima, durante o dopo il rilevamento del rimbalzo.
3. Se negli ultimi 45 giorni non sono state registrate interazioni degli utenti sul sito e i cookie di terze parti sono bloccati, lo spazio di archiviazione del sito verrà eliminato poco dopo l'attivazione del flusso di reindirizzamento successivo tramite il sito.

Queste modifiche sono state lanciate per impostazione predefinita in Chrome a ottobre 2023 per gli utenti che hanno attivato il blocco dei cookie di terze parti.

Casi d'uso fuori ambito

I flussi di reindirizzamento che non rientrano nell'ambito includono: autenticazione federata, SSO e pagamenti. Questo perché questi flussi, sebbene simili agli scenari di monitoraggio del rimbalzo, implicano l'interazione diretta dell'utente. Puoi trovare ulteriori informazioni nella spiegazione.

• Autenticazione federata: l'autenticazione federata si verifica quando un utente fa clic sul pulsante Accedi con il provider di identità sul web, ad esempio Facebook, GitHub o Google.
• Single Sign-On: quando un sito utilizza il Single Sign-On (SSO), l'utente prevede di accedere una volta con il provider di identità e poi accede automaticamente per tutte le visite effettuate su altri siti.
• Pagamenti: al giorno d'oggi è in uso un'ampia gamma di flussi di pagamento sul web e l'obiettivo della proposta è far sì che continuino a funzionare.

Considerazioni sulla sicurezza

Ci sono alcune considerazioni sulla sicurezza per questa proposta che sono state descritte nella spiegazione delle mitigazioni del monitoraggio del rimbalzo.

Quando saranno disponibili le mitigazioni del monitoraggio del rimbalzo?

Questa implementazione è disponibile per impostazione predefinita in Chrome per gli utenti che hanno attivato il blocco dei cookie di terze parti. Le mitigazioni del monitoraggio del rimbalzo sono state implementate per questi utenti in Chrome a ottobre 2023.

Questa proposta aggiunge valore in gran parte solo quando i cookie di terze parti sono disabilitati. I cookie di terze parti possono essere utilizzati per ottenere sostanzialmente gli stessi risultati del monitoraggio del rimbalzo. Pertanto, non è un obiettivo abilitare queste mitigazioni quando sono abilitati i cookie di terze parti.

Interagisci e condividi il feedback

Le mitigazioni del monitoraggio del rimbalzo sono ora disponibili per impostazione predefinita in Chrome. Ci farebbe piacere sapere eventuali feedback.

• GitHub: leggi la proposta, solleva domande e partecipa alla discussione.
• Assistenza per gli sviluppatori: poni domande e partecipa alle discussioni nel repository Privacy Sandbox per gli sviluppatori.
• Tracker dei bug di Chromium: puoi fornire un feedback nel tracker dei bug di Chromium utilizzando il componente "Privacy>NavTracking".