Esta página foi traduzida pela API Cloud Translation.

Mitigações de rastreamento de rejeições

Status da implementação

Este documento descreve detalhes sobre nossa implementação de mitigações de rastreamento de rejeições.

As mitigações de rastreio por redirecionamento foram lançadas por padrão no Chrome para os usuários que optaram por bloquear cookies de terceiros. Gostaríamos de receber qualquer feedback.
Status da plataforma Chrome:

O cronograma do Sandbox de privacidade fornece os prazos de implementação para a mitigação de rastreamento de rejeições e outras propostas do Sandbox de privacidade.

Por que precisamos dessa proposta?

Os fornecedores de navegadores estão removendo ativamente cookies de terceiros da Web. Consequentemente, alguns rastreadores de plataforma estão introduzindo o rastreamento de rejeições.

A proposta de mitigações de rastreio por redirecionamento tem como objetivo:

Reduza ou elimine a capacidade de rastreamento de rejeições para reconhecer pessoas em diferentes contextos.
Impede rejeições com estado de simular cookies de terceiros quando cookies de terceiros estiverem desativados, seja devido à política do navegador ou às configurações do usuário.
Evite interromper os casos de uso aceitos e valorizados pelo usuário que são implementados usando redirecionamentos com estado.
Reduzir o impacto de domínios de curta duração que não são adequadamente abordados por outras intervenções de privacidade que dependem de listas de bloqueio.
Evite usar listas de bloqueio ou de permissão para decidir quais sites são afetados.

Como as mitigações de rastreamento de rejeições funcionam?

Nossa proposta abordará o rastreamento de rejeições nos seguintes casos de uso:

Simulação de cookies de terceiros: sites que usam redirecionamento para um rastreador de terceiros com o objetivo de criar um cookie que ignora as configurações do navegador. Para atenuar esse problema, o navegador pode apagar o armazenamento de domínio do rastreador.
Redirecionamento de saída: sites que redirecionam todos os links de saída por meio de um domínio de rastreador. Para atenuar esse problema, o navegador pode apagar o armazenamento de domínio do rastreador.

O Chrome pretende proteger os usuários contra o rastreamento de rejeições excluindo periodicamente o estado desses sites de rastreamento. O processo vai funcionar da seguinte maneira:

O Chrome vai monitorar as navegações e sinalizar internamente os sites que fazem parte de uma "rejeição com estado". Isso significa que a navegação foi redirecionada pelo site e que o site acessou o armazenamento durante o redirecionamento. Isso inclui redirecionamentos iniciados pelo servidor e redirecionamentos do lado do cliente em que o JavaScript aciona uma navegação de forma programática. O acesso ao armazenamento inclui cookies e outros tipos de armazenamento, como localstorage e IndexingDB.
O Chrome examina periodicamente a lista de sites sinalizados e verifica se o usuário utilizou ativamente o site interagindo com ele nos últimos 45 dias. Essa interação pode ocorrer antes, durante ou depois da detecção da rejeição.
Se nenhuma interação do usuário tiver sido registrada nos últimos 45 dias e os cookies de terceiros forem bloqueados, o armazenamento do site será excluído logo após o acionamento do próximo fluxo de redirecionamento pelo site.

Essas mudanças foram lançadas por padrão no Chrome em outubro de 2023 para os usuários que ativaram o bloqueio de cookies de terceiros.

Casos de uso fora do escopo

Os fluxos de redirecionamento que estão fora do escopo incluem: autenticação federada, SSO e pagamentos. Isso ocorre porque esses fluxos, embora semelhantes aos cenários de rastreamento de rejeições, envolvem interação direta do usuário. Confira mais informações na explicação.

Autenticação federada: a autenticação federada ocorre quando um usuário clica em um botão Fazer login com o provedor de identidade na Web, por exemplo, no Facebook, no GitHub ou no Google.
Logon único: quando um site usa o Logon único (SSO), o usuário espera fazer login com o provedor de identidade uma vez e fazer login automaticamente para todas as visitas em outros sites.
Pagamentos: há uma grande variedade de fluxos de pagamento em uso na Web atualmente, e o objetivo da proposta é que eles continuem funcionando.

Considerações sobre segurança

Há algumas considerações de segurança para esta proposta que foram descritas na explicação sobre mitigações de rastreamento de rejeições.

Quando as mitigações de rastreio por redirecionamento estarão disponíveis?

Essa implementação está disponível por padrão no Chrome para usuários que ativaram o bloqueio de cookies de terceiros. As mitigações de rastreio por redirecionamento foram implementadas para esses usuários no Chrome em outubro de 2023.

Em grande parte, essa proposta só agrega valor quando os cookies de terceiros estão desativados. Cookies de terceiros podem ser usados para ter basicamente os mesmos resultados do rastreamento de rejeições. Portanto, não é um objetivo ativar essas mitigações quando cookies de terceiros estão ativados.

Interaja e compartilhe feedback

As mitigações de rastreio por redirecionamento agora estão disponíveis por padrão no Chrome. Se você tiver algum feedback, adoraríamos saber.

GitHub: leia a proposta, faça perguntas e participe de discussões.
Suporte para desenvolvedores: faça perguntas e participe de discussões no repositório de suporte para desenvolvedores do Sandbox de privacidade.
Rastreador de bugs do Chromium: é possível enviar feedback no rastreador de bugs do Chromium usando o componente "Privacy>NavTracking".