Recientemente los desarrolladores de Google ha anunciado su intención en los próximos dos años de suspender completamente el soporte de Chrome para las cookies de terceros establecidas al acceder a sitios que no sean el dominio de la página actual ya que estas cookies se utilizan para rastrear los movimientos de los usuarios entre sitios en el código de redes publicitarias, widgets de redes sociales y sistemas de análisis web.
Este es un movimiento que también va de la mano, con el llamado que realizaron los desarrolladores de Chromium en sus foros, ya que ellos tienen la intención de eliminar la cabecera User-Agent así como restringir el acceso a la propiedad navigator.userAgent en JavaScript.
Todo esto es debido a la iniciativa Privacy Sandbox con el objetivo de alcanzar un compromiso entre la necesidad de preservar la confidencialidad de los usuarios y el deseo de redes de anuncios y sitios para rastrear las preferencias del visitante.
Para fines de este año, en el modo de prueba de origen, se espera que se incluyan API adicionales en el navegador para medir la conversión y personalización de la publicidad sin el uso de cookies de terceros.
Para determinar la categoría de intereses de los usuarios sin realizar una identificación individual y sin referencia al historial de visitas a sitios específicos, se invita a las redes publicitarias a utilizar el API Floc, así como también evaluar la actividad del usuario después de cambiar a la publicidad, la medición de conversión de API y separar a los usuarios sin usar identificadores entre sitios con el Token API Trust.
Estamos trabajando activamente en todo el ecosistema para que los navegadores, editores, desarrolladores y anunciantes tengan la oportunidad de experimentar con estos nuevos mecanismos, probar si funcionan bien en diversas situaciones y desarrollar implementaciones de soporte, incluida la selección y medición de anuncios, denegación de servicio Prevención (DoS), antispam/fraude y autenticación federada.
El desarrollo de especificaciones relacionadas con la visualización de publicidad dirigida sin violar la confidencialidad se lleva a cabo por un grupo de trabajo separado creado por la organización W3C.
Actualmente, en el contexto de la protección contra la transmisión de cookies durante los ataques CSRF, se utiliza el atributo SameSite especificado en el encabezado Set-Cookie, que, a partir de Chrome 76, se establece en “SameSite=Lax” de forma predeterminada, lo que restringe el envío de cookies desde sitios de terceros, pero los sitios pueden eliminar la restricción configurando explícitamente SameSite=None al configurar la cookie.
El atributo SameSite puede tomar dos valores de ‘strict’ o ‘lax’.
- En el modo “strict”, las cookies no se envían para ningún tipo de solicitud entre sitios.
- Mientras que en el modo “lax”, se aplican restricciones más leves y la transmisión de cookies se bloquea solo para solicitudes secundarias entre sitios, como solicitar una imagen o descargar contenido a través de un iframe.
En la próxima versión de Chrome 80 (que está programado para el 4 de febrero) se aplicará una restricción más estricta que prohíbe el procesamiento de cookies de terceros para solicitudes que no sean HTTPS (con el atributo SameSite=None, las cookies solo se pueden configurar en modo seguro).
Además, se continúa trabajando en la implementación de herramientas para identificar y proteger contra el uso de métodos de derivación de rastreo e identificación encubierta (“huellas digitales del navegador”).
En Firefox a partir de la versión 69, de manera predeterminada las cookies son ignoradas por todos los sistemas de seguimiento de terceros.
Google considera que este bloqueo está justificado, pero requiere una preparación preliminar del ecosistema web y la provisión de API alternativas para resolver tareas para las que se utilizaron previamente cookies de terceros, sin violar la confidencialidad y sin socavar los modelos de monetización de sitios financiados mediante la visualización de anuncios.
En respuesta al bloqueo de cookies sin proporcionar una alternativa, las redes publicitarias no dejaron de rastrear, sino que solo cambiaron al uso de métodos más sofisticados basados en la identificación oculta del usuario (fingerprint) o creando subdominios separados para el rastreador en el dominio del sitio en el que se muestra el anuncio.
