Script Blocking (Script-Blockierung) verbessert den Schutz vor Tracking im Inkognitomodus, indem die Ausführung bekannter, weitverbreiteter Techniken zur Browser-Reidentifizierung blockiert wird, die in Drittanbieterkontexten (eingebettet) für Domains verwendet werden, die in der Liste der maskierten Domains (Masked Domain List, MDL) als „Entire Domain Blocked“ (Gesamte Domain blockiert) oder „Some URLs are Blocked“ (Einige URLs sind blockiert) gekennzeichnet sind. Diese Teilmenge der MDL wird als Liste blockierter Domains bezeichnet.
Wenn die Funktion aktiviert ist, vergleicht Chrome Netzwerkanfragen mit der MDL. Wenn eine Domain übereinstimmt, werden aktive Ressourcen (die Code ausführen oder Aktionen auf einer Webseite ausführen können, z. B. Skripts oder iFrames) der Domain blockiert, nicht aber statische Ressourcen (z. B. Bilder und Stylesheets).
Nutzer können die Skriptblockierung in den Chrome-Einstellungen deaktivieren.
Umfang der Skriptblockierung
Chrome hat eine Methode entwickelt, um häufig verwendete JavaScript-Funktionen zu identifizieren, die ausreichend eindeutige und stabile Informationen aus Web-APIs liefern, um Nutzer zu identifizieren. Beispielsweise werden Bilder über die Canvas API in verschiedenen Webbrowsern und auf verschiedenen Plattformen leicht unterschiedlich gerendert. Ein Skript kann diese Informationen verwenden, um einen Nutzer zu identifizieren.
Sobald diese Signaturen identifiziert wurden, durchsucht Chrome das Web nach Übereinstimmungen für Code, der zur Identifizierung von Nutzern verwendet wird, und generiert eine Liste von Domains, auf denen Skripts bereitgestellt werden, die den übereinstimmenden Code verwenden.
Die Liste wird noch etwas bearbeitet, bevor sie im Inkognitomodus angewendet werden kann.
Gemeinsam genutzte Domains
Scripts können über verschiedene Pfade derselben freigegebenen Domain bereitgestellt werden. Beispielsweise werden CDN-Domains oft von vielen Clients gemeinsam genutzt. Chrome berechnet den Anteil des Traffics eines Hosts, der ein erkanntes Skript bereitstellt. Wenn der Anteil unter einem Schwellenwert liegt, betrachtet Chrome den Host als freigegebene Domain. In diesem Fall gilt die Skriptblockierung nur für einen bestimmten Pfad und nicht für die gesamte Domain.
Drittanbieterkontext
Beim Script Blocking prüft Chrome nur aktive Ressourcen, die im Inkognitomodus aus einem Drittanbieterkontext bereitgestellt werden. Wenn die Domain einer Ressource mit der Top-Level-Domain übereinstimmt, gilt sie als eigene Ressource. Um selbst erhobene Daten von Daten zu unterscheiden, die von Dritten erhoben wurden, verwendet Chrome außerdem eine Zuordnung von Entitäten, die von Disconnect.me erstellt wurde, um die Inhaberschaft von Domains zu ermitteln. Ressourcen, die von Domains in derselben Entitätszuordnung bereitgestellt werden, werden als eigene Ressourcen behandelt. Sollte der von Chrome abgeleitete Ansatz Fehler enthalten, kann sich der Domaininhaber unter mdl_evaluations@disconnect.me an Disconnect.me wenden.
Ausnahmen für die Webkompatibilität
Chrome kann vorübergehende Ausnahmen anwenden, wenn festgestellt wird, dass eine Intervention auf einer bestimmten Domain die Nutzerfreundlichkeit erheblich beeinträchtigen könnte. Chrome kann beispielsweise Ausnahmen anwenden, um eine Beeinträchtigung der Betrugsschutzmaßnahmen der Website oder Probleme für besonders sensible Websites wie solche in .gov- und .edu-Domains zu vermeiden.
Liste der blockierten Domains
Die Liste der Domains, die von der Funktion „Script Blocking“ betroffen sind, ist auf GitHub verfügbar. Sie ist eine Teilmenge der Liste der maskierten Domains, die für den IP-Schutz definiert ist. Diese Funktion wirkt sich auf Einträge aus, die als „Von Script Blocking betroffen“ gekennzeichnet sind. Domains können der Liste hinzugefügt oder daraus entfernt werden. Chrome entfernt auch Domains, für die ein Einspruch eingelegt wurde.
Maßnahmen gegen das Blockieren von Skripten ergreifen
Wir empfehlen Ihnen, die Liste der maskierten Domains zu prüfen und alle Ihre Domains zu ermitteln, die sich möglicherweise darauf befinden. Weitere Informationen finden Sie auf der MDL.
Feedback geben
Wir freuen uns über dein Feedback.
- GitHub: Erklärung lesen oder Fragen stellen und an Diskussionen teilnehmen.
- Entwicklersupport: Stellen Sie Fragen und beteiligen Sie sich an Diskussionen im Privacy Sandbox Developer Support-Repository.