Blocco degli script

Il blocco degli script migliora le protezioni dal monitoraggio della modalità di navigazione in incognito bloccando l'esecuzione di tecniche note e prevalenti per la reidentificazione del browser utilizzate in contesti di terze parti (incorporati) per i domini contrassegnati come "Intero dominio bloccato" o "Alcuni URL sono bloccati" nell'elenco dei domini mascherati (MDL). Questo sottoinsieme dell'MDL è noto come elenco dei domini bloccati.

Quando la funzionalità è abilitata, Chrome controlla le richieste di rete rispetto all'MDL. Quando viene trovata una corrispondenza per un dominio, le risorse attive (che possono eseguire codice o azioni all'interno di una pagina web, come script o iframe) del dominio vengono bloccate, ma non le risorse statiche (ad esempio immagini e fogli di stile).

Gli utenti avranno la possibilità di disattivare il blocco degli script nelle impostazioni di Chrome.

Ambito del blocco degli script

Chrome ha sviluppato una metodologia per identificare le funzioni JavaScript ampiamente utilizzate che forniscono informazioni sufficientemente uniche e stabili dalle API web per identificare gli utenti. Ad esempio, l'API Canvas esegue il rendering delle immagini in modo leggermente diverso per browser web e piattaforme diversi. Uno script potrebbe utilizzare queste informazioni per identificare un utente.

Una volta identificate queste firme, Chrome esegue la scansione del web per trovare corrispondenze per il codice utilizzato per identificare gli utenti e genera un elenco di domini che pubblicano script che utilizzano il codice corrispondente.

L'elenco viene sottoposto ad alcuni trattamenti aggiuntivi prima di essere pronto per essere applicato in modalità di navigazione in incognito.

Domini condivisi

Gli script possono essere pubblicati da percorsi diversi dello stesso dominio condiviso. Ad esempio, i domini CDN sono spesso condivisi da molti clienti. Chrome calcola la proporzione del traffico di un host che pubblica uno script rilevato e, se la proporzione è inferiore a un valore di soglia, Chrome considera l'host un dominio condiviso. In questo caso, il blocco degli script si applica solo a un percorso specifico, non all'intero dominio.

Contesto di terze parti

Per il blocco degli script, Chrome controlla solo le risorse attive pubblicate da un contesto di terze parti in modalità di navigazione in incognito. Se il dominio di una risorsa corrisponde al dominio di primo livello, viene considerato proprietario. Inoltre, per determinare se un dominio è proprietario o di terze parti, Chrome utilizza un approccio basato sul massimo impegno per dedurre la proprietà del dominio sfruttando una mappatura delle entità creata da Disconnect.me. Le risorse pubblicate dai domini nella stessa mappatura delle entità vengono trattate come originali. Nel caso in cui l'approccio deduttivo di Chrome contenga errori, il proprietario del dominio ha la possibilità di contattare Disconnect.me all'indirizzo mdl_evaluations@disconnect.me.

Eccezioni per la compatibilità web

Chrome potrebbe applicare eccezioni temporanee se determina che l'intervento su un determinato dominio potrebbe causare un impatto significativo sull'esperienza utente. Ad esempio, Chrome potrebbe applicare eccezioni volte a evitare il peggioramento delle difese antifrode del sito o problemi per siti particolarmente sensibili, come quelli nei domini .gov e .edu.

Elenco domini bloccati

L'elenco dei domini interessati dalla funzionalità di blocco degli script è disponibile su GitHub ed è un sottoinsieme dell'elenco dei domini mascherati definito per la protezione IP. Questa funzionalità influirà sulle voci contrassegnate come "Interessate dal blocco degli script". I domini possono essere aggiunti o rimossi dall'elenco. Chrome rimuoverà anche i domini che hanno ottenuto un ricorso.

Intervenire sul blocco degli script

Ti invitiamo a esaminare l'elenco dei domini mascherati e a identificare eventuali domini che potrebbero essere presenti. Per saperne di più, consulta la pagina dedicata all'MDL.

Partecipare e condividere feedback

Se hai feedback, saremo felici di riceverli.