Bloqueo de secuencias de comandos

La función de bloqueo de secuencias de comandos mejora las protecciones contra el seguimiento del modo Incógnito, ya que bloquea la ejecución de técnicas conocidas y frecuentes para la reidentificación del navegador que se usan en contextos de terceros (incorporados) para los dominios marcados como "Se bloqueó todo el dominio" o "Se bloquearon algunas URLs" en la Lista de dominios enmascarados (MDL). Este subconjunto de la MDL se conoce como la Lista de dominios bloqueados.

Cuando la función está habilitada, Chrome verifica las solicitudes de red en la MDL. Cuando hay una coincidencia para un dominio, se bloquean los recursos activos (que pueden ejecutar código o realizar acciones dentro de una página web, como secuencias de comandos o elementos iframe) del dominio, pero no los recursos estáticos (por ejemplo, imágenes y hojas de estilo).

Los usuarios podrán inhabilitar el bloqueo de secuencias de comandos en la configuración de Chrome.

Alcance del bloqueo de secuencias de comandos

Chrome desarrolló una metodología para identificar las funciones de JavaScript que se usan con frecuencia y que proporcionan información suficientemente única y estable de las APIs web para identificar a los usuarios. Por ejemplo, la API de Canvas renderiza imágenes de forma ligeramente diferente para distintos navegadores web y plataformas. Un script podría usar esta información para identificar a un usuario.

Una vez que se identifican estas firmas, Chrome rastrea la Web para encontrar coincidencias con el código que se usa para identificar a los usuarios y genera una lista de los dominios que publican secuencias de comandos que usan el código coincidente.

La lista se somete a algunos tratamientos adicionales antes de que esté lista para aplicarse en Incognito.

Dominios compartidos

Es posible que los scripts se publiquen desde diferentes rutas del mismo dominio compartido. Por ejemplo, muchos clientes suelen compartir los dominios de CDN. Chrome calcula la proporción del tráfico de un host que publica un script detectado y, si la proporción es inferior a un valor de umbral, Chrome considera que el host es un dominio compartido. En este caso, el bloqueo de secuencias de comandos solo se aplica a una ruta específica, en lugar de a todo el dominio.

Contexto de terceros

En el caso del bloqueo de secuencias de comandos, Chrome solo verifica los recursos activos que se publican desde un contexto de terceros en Incógnito. Si el dominio de un recurso coincide con el dominio de nivel superior, se considera de origen. Además, para determinar si un sitio es propio o de terceros, Chrome emplea un enfoque de mejor esfuerzo para deducir la propiedad del dominio aprovechando una asignación de entidades creada por Disconnect.me. Los recursos que publican los dominios en la misma asignación de entidades se tratan como propios. En caso de que el enfoque deducido de Chrome contenga errores, el propietario del dominio puede comunicarse con Disconnect.me a través de mdl_evaluations@disconnect.me.

Excepciones para la compatibilidad web

Chrome puede aplicar excepciones temporales si determina que la intervención en un dominio en particular puede causar un impacto significativo en la experiencia del usuario. Por ejemplo, Chrome puede aplicar excepciones para evitar la degradación de las defensas antifraude del sitio o problemas en sitios particularmente sensibles, como los que se encuentran en los dominios .gov y .edu.

Lista de dominios bloqueados

La lista de dominios afectados por la función de bloqueo de secuencias de comandos está disponible en GitHub y es un subconjunto de la Lista de dominios enmascarados definida para la Protección de IP. Esta función afectará las entradas marcadas como "Afectadas por el bloqueo de secuencias de comandos". Es posible que se agreguen o quiten dominios de la lista. Chrome también quitará los dominios que hayan obtenido una apelación exitosa.

Cómo tomar medidas respecto al bloqueo de secuencias de comandos

Te recomendamos que revises la Lista de dominios enmascarados y que identifiques los dominios que puedan estar en ella. Para obtener más información, consulta la página específica de MDL.

Interactúa y comparte comentarios

Si tienes comentarios, nos encantaría conocerlos.