Dans le canal Nightly de Brave, les utilisateurs peuvent tester une nouvelle protection, qui devrait être disponible dans Brave 1.37 le 29 mars. Elle concerne le bounce tracking, l’une des techniques préférées pour contourner le choix des utilisateurs sur les cookies ou leur blocage.
Quand un navigateur empêche un cookie tiers de se charger, le site le détecte et bascule brièvement sur un autre domaine contenant le cookie. Puis la navigation reprend sur le site d’origine, désormais équipé du cookie qui, autrement, ne se serait pas chargé. Le cookie de l’autre domaine est présent sur la page d’origine grâce à un paramètre URL, n’est pas considéré comme tiers et n’est donc pas bloqué.
La technique n’est pas nouvelle et les navigateurs disposent de certaines mesures pour la détecter. Mais l’opération est complexe, car le navigateur n’a aucun moyen de savoir à l’avance qu’il va être redirigé vers un autre site avant de revenir au premier. Un rebond donnant son nom à la technique.
La technique développée par Brave consiste à vérifier dans un premier temps si le site fait partie d’une liste connue pour utiliser le bounce tracking. Si c’est le cas, et si aucun cookie ni localStorage lié au site n’est détecté, Brave crée un stockage temporaire pour y mettre toutes les données liées à la session de navigation.
Quand on quitte le site, ce stockage disparait, et avec lui les données. Il ne peut donc pas y avoir de réidentification sur la bases des informations précédentes.
Cette protection ne fonctionne que si un site n’a pas été visité. Dans le cas contraire, et pour ne pas rompre la navigation, Brave affiche le site normalement.
Notez que si vous paramétrez le navigateur en mode « Agressif », un message d’avertissement apparaîtra si vous tentez de visiter un site présent sur la liste. Il sera possible de passer outre, auquel cas le mécanisme mentionné se mettra en route.