Mitigações de rastreio por redirecionamento

Status da implementação

Este documento descreve detalhes sobre nossa implementação de mitigações de rastreio por redirecionamento.

• As mitigações de rastreio por redirecionamento foram lançadas por padrão no Chrome para os usuários que ativaram o bloqueio de cookies de terceiros. Queremos ouvir seu feedback.
• Status da plataforma Chrome.

O cronograma do Sandbox de privacidade fornece tempos de implementação para a mitigação de rastreio por rejeições e outros requisitos do Sandbox de privacidade propostas.

Por que precisamos dessa proposta?

Os fornecedores de navegadores agora estão removendo ativamente os cookies de terceiros da Web. Consequentemente, alguns rastreadores de plataforma estão lançando o rastreamento de rejeições.

A proposta de mitigação do rastreamento de rejeições tem como objetivo:

• Reduza ou elimine a capacidade de rastreamento de rejeições para reconhecer pessoas em diferentes contextos.
• Evite que rejeições com estado simulem cookies de terceiros quando eles estiverem desativados, seja devido à política do navegador ou às configurações do usuário.
• Evite interromper os casos de uso compatíveis valorizados pelo usuário que são implementados com redirecionamentos com estado.
• Reduzir o impacto de domínios de curta duração que talvez não sejam abordados de maneira adequada por outras intervenções de privacidade que dependem de listas de bloqueio.
• Evite usar listas de bloqueio ou permissão para decidir quais sites são afetados.

Como as mitigações de rastreio por redirecionamento funcionam?

Nossa proposta aborda o acompanhamento de rejeições nos seguintes casos de uso:

• Simulação de cookies de terceiros: sites que usam o redirecionamento para um rastreador de terceiros com o objetivo de criar um cookie que ignora as configurações do navegador. Para minimizar o problema, o navegador pode limpar o armazenamento do domínio do rastreador.
• Redirecionamento de saída: sites que redirecionam todos os links de saída por um domínio de rastreador. Para minimizar esse problema, o navegador pode limpar o armazenamento do domínio do rastreador.

O Chrome pretende proteger os usuários do rastreamento de rejeições excluindo periodicamente o estado para esses sites de acompanhamento. O processo vai funcionar da seguinte maneira:

1. O Chrome monitora as navegações e sinaliza internamente sites que fazem parte de uma "rejeição com estado". Isso significa que uma navegação foi redirecionada pelo site e que ele acessou o armazenamento durante o redirecionamento. Isso inclui redirecionamentos iniciados pelo servidor e do lado do cliente em que o JavaScript aciona uma navegação programaticamente. O acesso ao armazenamento inclui cookies e outros tipos de armazenamento. como, por exemplo, localstorage e indexesDB.
2. O Chrome examina periodicamente a lista de sites sinalizados e verifica se o usuário usou ativamente o site interagindo com ele nos últimos 45 dias. Essa interação pode ocorrer antes, durante ou depois da detecção da rejeição.
3. Se o site não tiver nenhuma interação do usuário registrada nos últimos 45 dias e os cookies de terceiros forem bloqueados, o armazenamento do site será excluído logo após o próximo fluxo de redirecionamento ser acionado pelo site.

Essas mudanças foram lançadas por padrão no Chrome em outubro de 2023 para os usuários que ativaram o com o bloqueio de cookies de terceiros.

Casos de uso fora do escopo

Os fluxos de redirecionamento que estão fora do escopo incluem: autenticação federada, SSO e pagamentos. Isso ocorre porque esses fluxos, embora semelhantes ao acompanhamento de rejeições, cenários, envolvem interação direta do usuário. Você pode encontrar mais informações em a explicação.

• Autenticação federada: a autenticação federada ocorre quando um usuário clica no botão Fazer login com o provedor de identidade na Web, por exemplo, no Facebook, no GitHub ou no Google.
• Logon único: quando um site usa o Logon único (SSO), o usuário espera fazer login com o provedor de identidade uma vez e depois fazer login automaticamente em todas as visitas em outros sites.
• Pagamentos: há uma ampla variedade de fluxos de pagamento em uso na Web atualmente, e o objetivo da proposta é que eles continuem funcionando.
• APIs Private Advertising: as mitigações de rastreio por redirecionamento não afetam o armazenamento gerenciado pelas APIs Private Advertising, como grupos de interesse, dados de atribuição ou armazenamento compartilhado.

Considerações sobre segurança

Há algumas considerações de segurança para essa proposta que foram descritos na explicação sobre as mitigações de rastreio por redirecionamento.

Quando as mitigações de rastreio por redirecionamento estarão disponíveis?

Essa implementação está disponível por padrão no Chrome para usuários que tenha ativado o bloqueio de cookies de terceiros. As mitigações de rastreio por redirecionamento eram implementadas para esses usuários no Chrome em outubro de 2023.

Em grande parte, essa proposta só agrega valor quando os cookies de terceiros estão desativados. Cookies de terceiros podem ser usados para conseguir praticamente os mesmos resultados que a rejeição monitoramento. Portanto, não é um objetivo habilitar essas mitigações quando os cookies de terceiros estão ativados.

Interaja e compartilhe feedback

As mitigações de rastreio por redirecionamento agora estão disponíveis por padrão no Chrome. Se você adoraríamos receber seu feedback.

• GitHub: leia a proposta, faça perguntas e participe de discussões.
• Suporte ao desenvolvedor: faça perguntas e participe de discussões na página Privacidade Repositório de suporte ao desenvolvedor do sandbox.
• Rastreador de bugs do Chromium: é possível enviar feedback no bug do Chromium tracker usando "Privacy>Nav Tracking" componente.