Mitigações de rastreamento de rejeições

Status da implementação

Este documento descreve detalhes sobre nossa implementação de mitigações de rastreio por redirecionamento.

• As mitigações de rastreio por redirecionamento foram lançadas por padrão no Chrome para os usuários que ativaram o bloqueio de cookies de terceiros. Queremos ouvir seu feedback.
• Status da plataforma Chrome.

O cronograma do Sandbox de privacidade informa os prazos de implementação para a redução do rastreamento por redirecionamento e outras propostas do Sandbox de privacidade.

Por que precisamos dessa proposta?

Os fornecedores de navegadores agora estão removendo ativamente os cookies de terceiros da Web. Consequentemente, alguns rastreadores de plataforma estão lançando o rastreamento de rejeições.

A proposta de mitigação do rastreamento de rejeições tem como objetivo:

• Reduza ou elimine a capacidade de rastreamento de rejeições para reconhecer pessoas em diferentes contextos.
• Evite que rejeições com estado simulem cookies de terceiros quando eles estiverem desativados, seja devido à política do navegador ou às configurações do usuário.
• Evite interromper os casos de uso compatíveis valorizados pelo usuário que são implementados com redirecionamentos com estado.
• Reduzir o impacto de domínios de curta duração que talvez não sejam abordados de maneira adequada por outras intervenções de privacidade que dependem de listas de bloqueio.
• Evite usar listas de bloqueio ou permissão para decidir quais sites são afetados.

Como as mitigações de rastreio por redirecionamento funcionam?

Nossa proposta aborda o acompanhamento de rejeições nos seguintes casos de uso:

• Simulação de cookies de terceiros: sites que usam o redirecionamento para um rastreador de terceiros com o objetivo de criar um cookie que ignora as configurações do navegador. Para minimizar o problema, o navegador pode limpar o armazenamento do domínio do rastreador.
• Redirecionamento de saída: sites que redirecionam todos os links de saída por um domínio de rastreador. Para minimizar o problema, o navegador pode limpar o armazenamento do domínio do rastreador.

O Chrome pretende proteger os usuários contra o rastreamento de rejeições excluindo periodicamente o estado desses sites de rastreamento. O processo vai funcionar da seguinte maneira:

1. O Chrome monitora as navegações e sinaliza internamente sites que fazem parte de uma "rejeição com estado". Isso significa que uma navegação foi redirecionada pelo site e que ele acessou o armazenamento durante o redirecionamento. Isso inclui redirecionamentos iniciados pelo servidor e do lado do cliente em que o JavaScript aciona uma navegação programaticamente. O acesso ao armazenamento inclui cookies e outros tipos de armazenamento, como, por exemplo, localstorage e indexesDB.
2. O Chrome examina periodicamente a lista de sites sinalizados e verifica se o usuário usou ativamente o site interagindo com ele nos últimos 45 dias. Essa interação pode ocorrer antes, durante ou depois da detecção da rejeição.
3. Se o site não tiver nenhuma interação do usuário registrada nos últimos 45 dias e os cookies de terceiros forem bloqueados, o armazenamento do site será excluído logo após o próximo fluxo de redirecionamento ser acionado pelo site.

Essas mudanças foram lançadas por padrão no Chrome em outubro de 2023 para os usuários que ativaram o bloqueio de cookies de terceiros.

Casos de uso fora do escopo

Os fluxos de redirecionamento que estão fora do escopo incluem: autenticação federada, SSO e pagamentos. Isso ocorre porque esses fluxos, embora semelhantes aos cenários de rastreamento de rejeições, envolvem interação direta com o usuário. Veja mais informações na explicação.

• Autenticação federada: a autenticação federada ocorre quando um usuário clica no botão Fazer login com o provedor de identidade na Web, por exemplo, no Facebook, no GitHub ou no Google.
• Logon único: quando um site usa o Logon único (SSO), o usuário espera fazer login com o provedor de identidade uma vez e depois fazer login automaticamente em todas as visitas em outros sites.
• Pagamentos: há uma ampla variedade de fluxos de pagamento em uso na Web atualmente, e o objetivo da proposta é que eles continuem funcionando.

Considerações sobre segurança

Há algumas considerações de segurança para essa proposta que foram descritas na explicação sobre as mitigações de rastreio por redirecionamento.

Quando as mitigações de rastreio por redirecionamento estarão disponíveis?

Essa implementação está disponível por padrão no Chrome para os usuários que ativaram o bloqueio de cookies de terceiros. Mitigações de rastreio por redirecionamento foram implementadas para esses usuários no Chrome em outubro de 2023.

Em grande parte, essa proposta só agrega valor quando os cookies de terceiros estão desativados. Cookies de terceiros podem ser usados para conseguir, basicamente, os mesmos resultados que o acompanhamento de rejeições. Portanto, não é um objetivo ativar essas mitigações quando os cookies de terceiros estão ativados.

Interaja e compartilhe feedback

As mitigações de rastreio por redirecionamento agora estão disponíveis por padrão no Chrome. Se tiver algum feedback, adoraríamos ouvir.

• GitHub: leia a proposta, faça perguntas e participe de discussões.
• Suporte ao desenvolvedor: faça perguntas e participe de discussões no repositório de suporte ao desenvolvedor do Sandbox de privacidade.
• Rastreador de bugs do Chromium: é possível enviar feedback no rastreador de bugs do Chromium usando o componente "Privacy>Nav Tracking".