Prévention du suivi intelligent est le nom du mécanisme de prévention du suivi implémenté dans WebKit et activé dans Safari et tous les principaux navigateurs fonctionnant sur la plate-forme iOS. J’ai écrit à ce sujet sur ce blog, et la ressource CookieStatus.com est quelque chose que vous devriez mettre en signet pour une lecture plus approfondie.
Le but d’ITP est d’empêcher l’accès des outils de suivi aux données stockées et traitées dans le navigateur. Cela implique des choses comme bloquer tous les cookies tiers et limiter la durée de vie des cookies propriétaires.
Dans cet article, je veux vous montrer comment utiliser le Mode de débogage ITP. C’est un enregistreur de console qui affiche toutes les actions entreprises par Intelligent Tracking Prevention sur l’appareil ou le navigateur de l’utilisateur.
Une chose clé à retenir à propos de l’ITP est qu’il est algorithmique et sur l’appareil. Cela signifie que les domaines “signalés” par ITP comme ayant des capacités de suivi changeront d’un appareil à l’autre. C’est pourquoi le mode de débogage ITP est si précieux – c’est le seul moyen d’avoir un aperçu de ce qu’ITP fait réellement sur l’appareil actuel.
Safari a publié la fonction de rapport de confidentialité il y a quelque temps. Cependant, il est conçu pour effrayer l’utilisateur et non pour l’éduquer. Il utilise un langage trompeur qui peut conduire à une incompréhension critique du fonctionnement réel d’ITP. Je recommande de traiter la fonctionnalité comme rien d’autre que l’auto-promotion de Safari.
Comment activer le mode de débogage ITP dans Safari
Malheureusement, le mode de débogage ITP ne fonctionne que dans le bureau version de Safari. Même si vous connectez votre appareil iOS et utilisez l’outil d’inspection Web pour examiner ce que fait le navigateur iOS, la journalisation de débogage n’atteint pas cette interface.
Pour activer le mode de débogage ITP dans Safari de bureau, vous devez d’abord révéler le Développer menu dans la barre d’outils. Pour ce faire, cliquez Safari -> Préférenceset ouvrez le Avancé languette.
Ici, vérifiez le Afficher le menu Développer dans la barre de menus.
C’est une bonne fonctionnalité à garder activée à tout moment – il y a beaucoup d’informations précieuses à acquérir grâce aux outils de développement d’un navigateur.
Ensuite, dans le nouveau menu Développer, choisissez Activer le mode de débogage de la prévention du suivi intelligent.
Enfin, dans le même menu Développer, cliquez sur Afficher la console JavaScript pour ouvrir la console dans la fenêtre du navigateur.
Si l’option d’affichage de la console n’est pas disponible, vous devez d’abord accéder à un site Web.
Une fois la console ouverte, en naviguant sur une poignée de sites Web, vous devriez commencer à voir la journalisation liée à l’ITP dans la console.
Ce qui est enregistré
L’inventaire des éléments connectés à la console est assez vaste, et il est également assez mal documenté. Néanmoins, voici quelques-uns des messages de débogage que vous pouvez vous attendre à trouver.
| Message de débogage | La description |
|---|---|
Appliquer des restrictions de suivi intersites à : [list_of_domains] | ITP a signalé les domaines répertoriés comme ayant des capacités de suivi intersites et leur a appliqué ses restrictions. |
Sur le point de supprimer des enregistrements de données pour : [list_of_domains] | Plus de 7 jours se sont écoulés depuis une interaction significative dans un contexte de première partie avec les domaines répertoriés, donc Safari supprime soit toutes les données stockées sur ces domaines, soit toutes sauf les cookies (si les cookies ont été définis avec des Set-Cookie en-têtes). |
| Messages relatifs à l’API d’accès au stockage. | Il existe de nombreux messages de débogage concernant l’API d’accès au stockage, par exemple lorsque l’accès est accordé, lorsque l’accès n’a pas pu être accordé et lorsque l’accès a été refusé. |
Programmé domain pour que ses cookies soient définis sur SameSite=Strict. | ITP a détecté qu’un domaine participe au suivi des rebonds et a défini ses cookies pour SameSite=Strict en conséquence. |
Limitation de l’expiration du cookie masqué CNAME tiers nommé cookie_name. | Si le cloaking CNAME est détecté, les cookies définis avec Set-Cookie les en-têtes sont configurés pour expirer 7 jours. |
Les domaines signalés par ITP sont réinitialisés par suppression de l’historique du navigateur. Cela annule la liste des domaines signalés par ITP.
Application des restrictions de suivi intersites à…
Ce message de débogage signifie qu’ITP a marqué les domaines de la liste comme ayant des capacités de suivi intersites. Cela ne veut pas dire qu’ils faire suivi intersite, mais cela signifie qu’ils ont le aptitude pour le faire.
Pour être répertorié parmi ces domaines, il faut généralement que le domaine soit demandé à partir de suffisamment de sites non liés à l’aide de requêtes HTTP. Par exemple, charger le même pixel à partir de google-analytics.com sur trois sites indépendants (ex. sitea.com, siteb.comet sitec.com) aura le drapeau ITP google-analytics.com en tant que domaine de suivi (potentiel).
L’impact principal de ceci est sur stockage propriétaire, car le trafic provenant d’un domaine signalé peut limiter la durée de vie des cookies propriétaires à 24 heures seulement. Il y a également un impact sur la chaîne de référence.
Notamment, Safari n’utilise plus ITP pour bloquer les cookies tiers. Plutôt, tous les cookies tiers sont bloqués sans exception sur Safari, et le site doit utiliser l’API d’accès au stockage pour y accéder.
Sur le point de supprimer des enregistrements de données pour…
Safari supprime tout le stockage inscriptible par script (localStorage, indexedDB etc.) à partir d’un site si le site n’a pas été interagi avec contexte de première partie pour les 7 derniers jours.
Cela signifie que l’utilisateur doit réellement visiter le site et effectuer une interaction significative (par exemple, cliquer, faire défiler) pour que la minuterie soit réinitialisée.
Les cookies JavaScript peuvent voir leur expiration réinitialisée avec le document.cookie API, mais l’expiration maximale est toujours appliquée à 7 jours par Safari.
Safari supprime également toutes les données du site (y compris les cookies définis avec des en-têtes HTTP) si le domaine a été classé par ITP ET s’il n’y a pas eu d’interaction avec le domaine dans un contexte propriétaire au cours des 30 derniers jours.
Grâce à Antoine Bourlon pour la précision ci-dessus.
API d’accès au stockage
Interactions avec le API d’accès au stockage ont leur propre journalisation de débogage.
Par exemple, lors d’une demande d’accès au stockage, un message comme celui-ci s’affiche si le cadre intégré demande l’accès au stockage de la page parent :
Sur le point de demander à l’utilisateur s’il souhaite accorder l’accès au stockage à sub_frame_domain sous top_frame_domain ou non.
De même, les erreurs sont également générées dans la console.
Protection contre le suivi des rebonds avec une prison SameSite=Strict
Cette caractéristique est particulière en ce sens il n’est pas implémenté actuellementmême si le mécanisme de protection existe.
Sur la base de cet article, la restriction a été créée pour répondre à des domaines spécifiques et répertoriés qui participent à un tel système. Actuellement, la liste est vide.
L’idée est que si traqueurs de rebond sont détectés, les domaines vers lesquels la demande est redirigée sont privés de leur capacité à exploiter les cookies intersites.
Il reste à voir si cela recevra plus d’attention à l’avenir. C’est probable, compte tenu de la prévalence du suivi des rebonds.
Atténuation du masquage CNAME
Masquage CNAME fait référence à une pratique où un domaine de suivi est masqué derrière un domaine propriétaire appartenant au site qui souhaite collecter des données pour le tracker.
Par exemple, au lieu qu’un site envoie des données directement à https://www.tracker.comils le font passer par procuration https://track.site.com. Ce sous-domaine serait en fait un enregistrement CNAME pour www.tracker.com.
Cela a été un moyen assez populaire de surmonter les restrictions d’ITP sur les cookies propriétaires. Cependant, avec les versions récentes de Safari et iOS/iPadOS, WebKit a commencé la tâche d’invalider cette pratique.
Il y a un bogue dans WebKit où le nom du cookie n’est pas exposé. Un correctif est à venir.
ITP Debug m’Mode vous indiquera si le domaine actuel essaie de définir des cookies à l’aide d’un enregistrement CNAME sur une origine intersite et s’il a pris les mesures appropriées.
Résumé
Intelligent Tracking Prevention est une machine complexe, il est donc très utile de se familiariser avec la sortie de débogage qui l’accompagne si vous souhaitez en savoir plus sur le fonctionnement interne du mécanisme.
ITP est également en constante évolution et la sortie du journal sera constamment mise à jour pour correspondre aux dernières capacités des préventions de suivi de WebKit.
Malheureusement, il n’est actuellement pas possible d’activer le mode de débogage ITP pour iOSSafari via une connexion USB, même si toutes les autres fonctionnalités de l’inspecteur Web sont à votre disposition. Espérons que le navigateur mobile aura des capacités de débogage à un moment donné dans le futur, mais sur la base de discussions avec les ingénieurs de WebKit, cela ne semble pas probable à court terme.
Faites-moi savoir dans les commentaires si vous avez des questions sur le mode de débogage ITP ou sur ITP en général !
Source : www.simoahava.com
