Le blocage de script améliore les protections contre le suivi du mode navigation privée en bloquant l'exécution des techniques courantes et connues de réidentification du navigateur utilisées dans des contextes tiers (intégrés) pour les domaines marqués comme "Domaine entier bloqué" ou "Certaines URL sont bloquées" dans la liste des domaines masqués (LDM). Ce sous-ensemble de la MDL est appelé liste des domaines bloqués.
Lorsque cette fonctionnalité est activée, Chrome compare les requêtes réseau à la MDL. Lorsqu'un domaine correspond, les ressources actives (qui peuvent exécuter du code ou effectuer des actions sur une page Web, comme des scripts ou des iFrames) de ce domaine sont bloquées, mais pas les ressources statiques (par exemple, les images et les feuilles de style).
Les utilisateurs pourront désactiver le blocage de script dans les paramètres Chrome.
Portée du blocage de scripts
Chrome a développé une méthodologie pour identifier les fonctions JavaScript largement utilisées qui fournissent des informations suffisamment uniques et stables à partir des API Web pour identifier les utilisateurs. Par exemple, l'API Canvas affiche les images légèrement différemment selon les navigateurs Web et les plates-formes. Un script peut utiliser ces informations pour identifier un utilisateur.
Une fois ces signatures identifiées, Chrome explore le Web pour trouver des correspondances avec le code utilisé pour identifier les utilisateurs et génère une liste des domaines qui diffusent des scripts utilisant le code correspondant.
La liste est soumise à des traitements supplémentaires avant de pouvoir être appliquée en mode navigation privée.
Domaines partagés
Les scripts peuvent être diffusés à partir de différents chemins d'accès du même domaine partagé. Par exemple, les domaines CDN sont souvent partagés par de nombreux clients. Chrome calcule la proportion du trafic d'un hôte qui diffuse un script détecté. Si cette proportion est inférieure à une valeur seuil, Chrome considère l'hôte comme un domaine partagé. Dans ce cas, le blocage de script ne s'applique qu'à un chemin d'accès spécifique, et non à l'ensemble du domaine.
Contexte tiers
Pour le blocage de script, Chrome ne vérifie que les ressources actives diffusées à partir d'un contexte tiers en mode navigation privée. Si le domaine d'une ressource correspond au domaine de premier niveau, il est considéré comme propriétaire. De plus, pour déterminer si un site est propriétaire ou tiers, Chrome utilise une approche au mieux pour déduire la propriété du domaine en s'appuyant sur un mappage d'entités créé par Disconnect.me. Les ressources diffusées par des domaines dans le même mappage d'entité sont traitées comme des ressources propriétaires. Si l'approche déduite de Chrome contient des erreurs, le propriétaire du domaine peut contacter Disconnect.me à l'adresse mdl_evaluations@disconnect.me.
Exceptions pour la compatibilité Web
Chrome peut appliquer des exceptions temporaires s'il détermine qu'une intervention sur un domaine particulier peut avoir un impact important sur l'expérience utilisateur. Par exemple, Chrome peut appliquer des exceptions visant à éviter la dégradation des systèmes de protection contre la fraude du site ou des problèmes pour les sites particulièrement sensibles, tels que ceux des domaines .gov et .edu.
Liste des domaines bloqués
La liste des domaines concernés par la fonctionnalité de blocage des scripts est disponible sur GitHub. Il s'agit d'un sous-ensemble de la liste des domaines masqués définie pour la protection de l'adresse IP. Cette fonctionnalité affectera les entrées marquées comme "Impactées par le blocage de scripts". Des domaines peuvent être ajoutés à la liste ou en être supprimés. Chrome supprimera également les domaines pour lesquels un appel a été accepté.
Agir contre le blocage de scripts
Nous vous encourageons à consulter la liste des domaines masqués et à identifier les domaines qui pourraient y figurer. Pour en savoir plus, consultez la page dédiée au MDL.
Interagir et envoyer des commentaires
N'hésitez pas à nous faire part de vos commentaires.
- GitHub : lisez l'explication ou posez des questions et participez à la discussion.
- Assistance pour les développeurs : posez des questions et participez à des discussions sur le dépôt d'assistance pour les développeurs Privacy Sandbox.