Наступает будущее без cookies (печенюшек): как подготовиться владельцам сайтов и рекламодателям?

Привет! На связи Максим Кульгин, основатель clickfraud.ru. Мы защищаем предпринимателей от мошеннических действий с цифровой рекламой. Но сегодня поговорим о простых пользователях, об их защите. Обсудим пресловутые файлы cookies: угрозы, которые те несут и то, как мир собирается от них избавляться.

Все любят веб-технологию «cookies». Особенно обожают связанные с ней всплывающие окна на каждом сайте. Те, кто разбирается в Вебе чуть лучше, различает дополнительные сорта — например, cookies созданные третьей неизвестной стороной с неизвестными целями.

Казалось бы, вот исчезли бы эти cookies вместе со своими вопросами, подтверждениями, опасностями и прочим — Веб стал бы чище, проще, безопасней.

Да не тут-то было!

Мы уже увязли в Матрице и нас так просто не выпустят.

Сейчас курс на новую Веб-нормальность: Google и другие крупные игроки намерены полностью отказаться от cookies.

Наметившийся переход от использования cookies-файлов к другим технологиям получил название Cookieless Future — «будущее без cookies», которое почти уже наступило.

Многие эксперты пытаются представить переход на новые технологии как «хорошее предзнаменование» для конфиденциальности и безопасности. Уже вовсю обсуждается, сколько препятствий возникнет для маркетологов, бизнеса и владельцев сайтов. Даже простым пользователям интернета придется напрячься.

Поскольку «будущее без cookies» уже не за горами, сейчас самое подходящее время, чтобы подготовиться. В данной статье мы расскажем больше о «прекрасном недалёко», его особенностях, а также задумаемся о последствиях и пользе для бизнеса.

Итак. Что же такое «будущее без cookies»?

Как следует из названия, в основе — отказ от использования сторонних файлов cookies для любых целей.

Что ж, начнем с краткого обзора сути — для тех, кто не сильно задумывался о подобных вещах.

Первое, что всплывает в памяти — это «какие-то проблемы с конфиденциальностью».

В борьбе за благосклонность аудитории, представители крупного бизнеса в интернете — Google, Firefox и подобные — начинают отказываться от cookies-файлов полностью или хотя бы частично.

Для пользователей такое движение, конечно же, создаст некоторое улучшение ситуации — хотя бы тем, что о проблеме заговорили и появилась надежда на возникновение нового тренда.

Владельцы сайтов и маркетологи слегка напряглись: использование сторонних файлов cookies для отслеживания посетителей и навязывания им рекламы в зависимости от истории просмотров — весьма жирный кусок интернет-пирушки, от которого неохота отказываться. Неужели кому-то придется изобретать обходные пути?

Прежде чем углубляться дальше, вспомним, что такое cookies и чем они могут навредить.

Файлы cookies — это небольшие кусочки текста, содержащие записи, которые помогают идентифицировать и посетителя и его компьютер — обычно это имя пользователя, адрес электронной почты или какие-то токены (непонятная мешанина из букв и цифр).

Поскольку основной целью файлов cookies является идентификация, то они в основном для этого и используются — сообщают веб-сайтам, кто именно зашел на страницу.

Как несложно представить, такие возможности делают файлы cookies полезными для всех, кто находится по ту сторону монитора или экрана смартфона, поскольку позволяют хранить состояния и превращают веб-жизнь пользователя в один сплошной отслеживаемый сеанс — от поддержания авторизации на сервисах до показа контекстно-таргетированной рекламы.

Файлы cookies создаются где-то на сервере и передаются в браузер пользователя для хранения на его устройстве. В зависимости от того, кто именно создал cookies, их можно поделить на две группы.

Первичные cookies — это файлы, созданные на сайте, страничка которого открыта в браузере. Такие файлы обычно используются для поддержания авторизации: так сайт узнает пользователя при открытии новых страниц или при следующем посещении. Пока сайт не скомпрометирован, пользователь условно находится в безопасности.

Сторонние cookies — это файлы, предоставляемые третьими лицами, созданные неизвестно кем и непонятно в каких целях. Такие файлы загружаются и читаются не тем сайтом, страничка которого открыта в браузере. Хорошо, если цели создателей cookies — это просто рекламное преследование несчастного потенциального покупателя. Владелец сайта не может контролировать истинные намерения создателей таких cookies: он просто предоставил третьим лицам место на своем сайте — а дальше уже пошло-поехало.

Разумеется, cookies сторонних производителей — самый противоречивый вопрос, когда речь заходит о конфиденциальности.

Давайте посмотрим. Ведь именно сторонние cookies стали причиной разговоров о «будущем без cookies». Но что делает их такими подозрительными?

Во-первых, сторонние cookies в подавляющем большинстве случаев устанавливаются без согласия конечного пользователя. Это означает, что при просмотре рекламы, на компьютер проникают неожиданные файлы, позволяющие неизвестно кому отслеживать интернет-активность.

В лучшем случае непрошеные файлы будут использоваться для предоставления персонализированных услуг (в основном той же рекламы) на других веб-сайтах, где окажется пользователь. На иллюстрации ниже показано как у них это получается.

Файлы cookies сами по себе не являются хорошими или плохими, вредными или полезными — ни сторонние, ни первичные. Однако многих людей раздражает или не устраивает сам факт того, что за ними следят.

Несмотря на то, что cookies сами по себе безопасны — это просто маленькие текстовые файлы — они, тем не менее, несут множество угроз. В силу того, что такие текстовые файлы интерпретируются специальным приложением — браузером — они становятся как бы маленькими компьютерными программами и, соответственно, добро пожаловать:

• атакам с подделкой межсайтовых запросов (XSRF);
• межсайтовому скриптингу (XSS);
• перехвату сеанса (Fixation of the Session);
• атаке подбрасыванием (Cookies Tossing Attack);
• атаке переполнением (Cookies Overflow Attack).

Вроде нет, но этого оказалось достаточно, чтобы многие технологические платформы перестали использовать cookies.

«Без cookies» буквально означает — не использовать и не принимать сторонние файлы cookies.

Эта идея никак не затрагивает первичные cookies, используемые для персонификации на целевом сайте, без которых действительно не понятно, как хранить состояние сеанса с пользователем.

Существует множество альтернатив, которые позволяют использовать все возможности файлов cookies без самих файлов cookies.

Движение едва началось. Пока только лидеры индустрии находятся в процессе перехода на технологии без cookies — простые сайты, которыми наполнен интернет, ещё даже и не помышляют об этом.

Жизнь без cookies имеет много преимуществ, особенно когда речь заходит о безопасности.

Маркетологам такое, конечно, не понравится — 97% рекламодателей используют сторонние файлы cookies и связанные с ними данные, хранящиеся где-то во враждебных облаках. Однако, причастным к рынку рано обратно закупоривать шампанское: и владельцы сайтов и маркетологи могут по-прежнему персонализировать работу и ориентироваться на пользователей — просто теперь без cookies и без присущих им проблем конфиденциальности и безопасности.

Для этого придется воспользоваться преимуществами «альтернативных файлов cookies», такими как постоянные веб-идентификаторы и данные сторонних производителей. Главное, чтобы названия были красивые и убаюкивающие: «Прозрачность отслеживания» (как у Apple), «Песочница конфиденциальности» (как у Google)…

Да, действительно, «будущее без cookies» может оказаться не совсем «без cookies». В конце концов, поскольку основной враг — сторонние cookies, то против первичных cookies никто пока особо не возражает и яростно бороться с ними не собирается. А значит, многие сайты всё ещё смогут продолжать использовать первичные cookies какое-то время, не беспокоясь о неожиданностях.

Нарушение конфиденциальности — самая большая проблема, связанная со сторонними файлами cookies, главная причина, по которой многие бренды и компании избавляются от них.

То, что рекламодатели (в лучшем случае) имеют власть сохранять без ведома пользователя на его компьютере файлы — уже вторжение в личное пространство. Причем файлы — не цель, а лишь средство её достижения.

Цель — отслеживание поведения пользователя без его ведома. В лучшем случае — с рекламными целями.

Общественные институты вынуждены были как-то отреагировать на неприемлемость ситуации. Пришлось дергать за волшебный рычаг решения всех проблем — юридические запреты.

Самый известный закон, возникший для регулирования cookies — европейский «General Data Protection Regulation» (далее GDPR).

Мы теперь сталкиваемся с ним по двадцать раз на дню. Даже те, кто не находится в юрисдикции Европейского Союза и не был обязан недвусмысленно предупреждать об использовании cookies — и те начали подражать сначала европейским, а затем и всем остальным сайтам. И теперь нигде нельзя ничего прочитать, не согласившись с использованием cookies — всё во имя заботы о конфиденциальности.

Забота о конфиденциальности граждан — это важно для Европейского Союза. Жаль, что политики не видят ничего дальше cookies. Но не будем нырять в вопросы конфиденциальности слишком глубоко — это чревато. Вернемся к охоте на cookies.

Конечно, всем очень понравилось отвечать на блокирующие экран подтверждения о согласии на использование cookies.

Всё свелось к тому, что все нажимают на кнопку — «Да, полностью согласен и рад, что вы используете прекрасные cookies!» — даже не читая ни то, что написано на радующем глаз всплывающем баннере, ни тем более в каких-то соглашениях.

Сторонние cookies по-прежнему остаются широко распространенной проблемой, независимо от того, что европейские юристы сочинили в GDPR. Ведь пользователи-то согласны! Ежедневно в мире сотни миллионов раз нажимается кнопка «Да, согласен!» — чего не использовать-то сторонние cookies на всю мощь как и раньше?

Файлы cookies позволяют третьим лицам создавать настоящие профили пользователей — это уже не только простое отслеживание местонахождения и рекламное преследование. Некоторые платформы социальных сетей позволяют просмотреть часть данных своего профиля. Однако, там не слишком много интересного. А вот когда люди узнают полный перечень того, что о них известно, то многие испытывают настоящий шок.

Корпорации чувствуют всеобщее раздражение и понимают, что однажды это может привести к более значимым последствиям, нежели проявление европейской чиновничьей глупости вроде GDPR. Поэтому начинают действовать на опережение, заодно получая конкурентное преимущество перед теми, кто пока швыряет cookies-файлами в пользователя, невзирая на его реакцию.

Доверие — вот товар, которым торгуют бренды. И в новых условиях они уже придумали как нацепить на него новую упаковку. Но об этом чуть позже…

Мало нарушений конфиденциальности, так и ещё и с безопасностью проблемы! Рассмотрим чуть подробнее угрозы, о которых вскользь упомянули выше.

Подделка межсайтовых запросов (XSRF)

Технология cookies настолько примитивна, что невозможно определить: исходит ли запрос от доверенного пользователя или от кого-то другого. Этим пользуются хитрые «третьи стороны» — используют cookies для выполнения XSRF-атак.

Такие атаки, прикрываясь надежными сайтами, внедряют мошеннические cookies в браузеры пользователей. После чего появляется возможность выполнять вредоносные запросы (например, для удаления нужных файлов) на сайтах, которые посещает незадачливый посетитель.

Межсайтовый скриптинг (XSS)

Взломанные сайты часто используются в качестве стартовой площадки для выполнения XSS-атак. В ходе таких атак хакеры размещают на сайтах свой JavaScript или HTML-код, который может быть использован для получения файлов cookies и других данных от ничего не подозревающих пользователей.

Поскольку cookies могут содержать конфиденциальную информацию, такую как данные для авторизации — воровство таких cookies становятся отличной наградой за неправедные труды.

Перехват сеанса

Как мы уже отмечали, основная задача cookies — поддержание состояния авторизации. Если точнее, то это делается с помощью сессионных файлов cookies — они хранят уникальный идентификатор сеанса до тех пор, пока открыт браузер.

К сожалению, хакеры таки могут перехватить учетные данные, использующиеся для входа, просто указав свой собственный идентификатор сеанса в URL-адресе, который они подсовывают. Как они это делают рассматривать сейчас не будем, чтобы не перегружать технической информацией неподготовленного читателя.

Важно, что если войти в систему по такому URL-адресу, то хакер получает доступ к учетной записи на определенном веб-сайте.

Подбрасывание cookies

Хотя большинство файлов cookies и связаны с доменным именем, на самом деле это не всегда так. Когда сайт сталкивается с несколькими подобными файлами cookies, то выбор зачастую происходит рандомно, без рассмотрения дополнительных параметров или иных критериев выбора.

Чтобы попользоваться этой лазейкой, хакеры «подбрасывают» свой файл cookie в браузер пользователя в надежде, что ничего не подозревающий сайт попадется на приманку. Когда такое происходит, то скомпрометированный сайт по прихоти cookie (читай: хакера) выполняет любые запросы — например, направленные на манипуляцию с регистрационной информацией.

Захват cookies

Стандартом современного Веба уже давно стала обязательность установления и использования шифрованного соединения с посещаемыми сайтами. Вся информация, включая cookies, должна передаваться в таком цифровом «тоннеле», откуда технически невозможно извлечь какую бы то ни было информацию (по крайней мере, до изобретения квантовых компьютеров с непостижимыми вычислительными мощностями).

В тех случаях, когда используется небезопасное соединение, у хакеров появляется возможность вмешаться в обмен данными между браузером и целевым сайтом. В таком случае cookies могут быть похищены и использованы в дальнейшем.

Современные браузеры сигнализируют, когда пользователь приходит на сайт, не использующий технологии защиты данных (такие как SSL и TLS). Причем тенденция такова, что с течением времени сигнализация становится всё заметнее и всё чаще требуется подтверждать согласие на дальнейшее взаимодействие с таким сайтом.

Но есть нюанс.

Почти все мировые удостоверяющие центры, сертификаты которых «вшиты» в браузеры, включились в политические игры и начали вредить: прекращать действие ранее выданных сертификатов — от чего многие сайты с точки зрения браузера стали выглядеть как небезопасные.

Соответственно, российские пользователи, привыкнувшие к обыденности ситуации, когда используется «небезопасное» соединение, по привычке, согласившись в очередной раз посетить ресурс без сертификата безопасности, могут попасться хакерам в лапы.

Кстати, в нашей недавней статье — «Свой бесплатный почтовый сервер для рассылок: настройка, сертификаты…» — мы рассказывали о рабочем (пока) решении, как получить международный сертификат тем, кому надо.

Казалось бы, все эти угрозы затрагивают лишь пользователей, но это не так. Предприниматели и владельцы сайтов тоже под ударом. Поисковые системы уже стали настоящими церберами трафика и диктуют свои законы. Если сайт подвергает своих посетителей сетевым угрозам или же иным образом нарушает установленные правила работы с cookies, то такой сайт неминуемо вылетает с первых страниц поиска — а вернуться туда не просто и не быстро.

Такая политика ведет к тому, что разумные владельцы сайтов вынуждены менять традиционные подходы, подстраиваясь под изменчивость электронного мира.

Файлы cookies могут быть использованы для совершения подложных покупок и других действий на странице, что уже дало мошенникам возможность «заработать» миллионы долларов.

Вот как это работает.

Не секрет, что многие компании запускают партнерские программы, что хорошо продвигает продукцию или услуги. Когда клиент совершает покупку через одного из таких партнеров — партнер получает долю от продажи. Отслеживание ведется путем привязки файла cookie партнера к продажам клиентов. Звучит как надежный способ ведения учета, не так ли?

Не совсем.

Мошенники размещают вредоносные cookies на взломанном сайте. Когда ничего не подозревающие пользователи посещают такой сайт, они получают эти cookies, которые настроены на взаимодействие с партнерской страницей.

С точки зрения конфиденциальности и безопасности «будущее без cookies» несет немало преимуществ. Однако, не всё так просто.

Мы говорим не только о хакерах, которые используют файлы cookies в своих интересах. Скорее всего, многие владельцы сайтов и маркетологи уже сталкиваются с проблемами, вызванными отказом от cookies. Да, что там маркетологи! — любой, кому нужны cookies для выстраивания взаимодействия с клиентами, вынужден будет искать альтернативу.

Пользователи

Для пользователей «будущее без cookies» в основном выгодно.

Поскольку многие браузеры (а вслед за ними сайты) полностью отказываются от сторонних файлов cookies, то просматривать веб-страницы можно будет со спокойной душой, зная, что cookies не используются для вредоносных действий.

Кроме того, сайты больше не смогут использовать файлы cookies ни для отслеживания активности пользователей вне информационного поля сайта, ни для создания профилей пользователей.

Владельцы сайтов

Владельцам сайтов будущее без использования cookies одновременно кажется и сложным, и многообещающим.

Хорошие новости в том, что больше не надо так сильно беспокоиться о проблемах безопасности, связанных с cookies. Однако, придется менять способы взаимодействия с пользователями, чтобы сохранить привычный интерфейс.

Например, большинство сайтов используют cookies для управления сеансами входа в систему. В новой реальности такой подход придется менять: начинать внедрять стратегии обработки данных от первого лица или задействовать персональные идентификаторы.

Маркетологи

Поскольку рекламодатели в основном используют сторонние файлы cookies для показа целевой рекламы, то именно цифровой маркетинг примет на себя основной удар и столкнется с самыми ощутимыми последствиями.

Это не обязательно плохо: «любая проблема — это возможность». В эпоху перемен всегда можно получить конкурентное преимущество. Как бы там ни было, но на первый взгляд кажется, что большая часть данных, собираемых сейчас в маркетинговых целях, станет недоступна.

Хотя технология cookies долгое время и была единственно надежным средством сбора пользовательских данных, к настоящему моменту она себя изжила. А маркетологам придется приспосабливаться. Поскольку Вебом двигают деньги, то можно не сомневаться, что грядущие решения для поддержания таргетированных показов (особенно в условиях активного применения продвинутых средств блокировки рекламы) заинтересованных лиц не разочаруют.

Готовы мы или нет — будущее приходит без спроса. А «будущее без cookies», можно сказать, уже наступило.

Несмотря на то, что разработчики Google Chrome, продолжают откладывать отмену сторонних cookies, мы уже находимся на переходном этапе. И Safari, и Mozilla Firefox прекратили работать с такими cookies ещё в 2020 году. Поэтому для владельцев сайтов и маркетологов сейчас самое подходящее время, чтобы подготовиться.

Ещё не забыли эти мемы? — «Ожидание vs Реальность».

Хотя «будущее без cookies» и поможет устранить многие угрозы конфиденциальности, оно не сможет сделать это полностью.

Компании начинают внедрять альтернативные методы отслеживания — хорошо. Тогда такой вопрос: когда хакеры и другие злоумышленники найдут способ воспользоваться ими? Причем решить проблему «почистив» cookies в браузере уже не получится — все данные уходят в облака. Это общемировая тенденция последнего десятилетия, мы писали об этом в статье о поднятии своего облачного сервиса.

Даже если данные третьих лиц не станут следующим крупным вектором атак и бросовым товаром на рынке, то причин для беспокойств у общества остается достаточно.

Как показал опыт последних двух десятилетий, даже самые многообещающие технологии могут нести риски. А нас ждут альтернативные идентификаторы.

Контекстный таргетинг

До появления технологии cookies контекстный таргетинг просто размещал рекламу на соответствующих маркетинговых каналах — это работало с большим успехом.

Ничто не мешает просто показывать рекламу на соответствующих сайтах и каналах — вместо того, чтобы запрашивать согласие пользователя, обеспечивать конфиденциальность и работать с внедрением cookies.

Универсальные идентификаторы

По мере отказа от cookies, многие технологические платформы переходят на универсальные идентификаторы. Google Chrome пока не планирует поддерживать их, но другие уже используют во всю — удобное средство идентификации пользователей без рисков для безопасности.

Универсальные идентификаторы бывают нескольких типов:

• связанные с устройством (UUID);
• идентификаторы мобильной рекламы (MAID);
• основанные на регистрационной информации;
• вероятностные, основанные на географии и поведенческих факторах.

Нет. Придется давать разрешения, что пользовательские данные будут использоваться и далее (где именно — читать в длинном соглашении).

Уже появились целые платформы, вроде Ad Tech, которые специализируются на изобретении и внедрении этих примет нового времени.

Когорты

Когорты (Cohorts) подобны контекстному таргетингу — происходит группирование пользователей на основе схожих интересов.

Опять же, вместо идентификации личности, платформы могут отталкиваться от информации об активности для получения картины последовательного, целенаправленного опыта групп людей, которые демонстрируют схожие характеристики, интересы или хобби.

Встроенные решения

Данные об устройствах обладают большим потенциалом для получения знаний о пользователе. Здесь вместо лобового маркетинга, на основе данных устройств пользователя, третья сторона может получать столько информации, сколько необходимо для отнесения пользователя к определенной когорте.

Обещается, что пользователи сохранят свою анонимность. Верим. При том, что маркетологи по-прежнему смогут предоставлять целевой контент, основанный на активности пользователей.

Если «будущее без cookies» чему-то нас и научит, так это тому, что нет ничего важнее нашей конфиденциальности.

Поскольку пресловутое «будущее без cookies» почти наступило, надо быть внимательным к новым возможностям. Мы не узнаем об уязвимостях, пока они не нагрянут. Это касается всех: и тех, кто потребляет контент перед экраном, и тех, кто трудится по ту сторону.

В этой статье мы говорили, в том числе, и о защите от мошеннических действий. Но смотрели на ситуацию со стороны пользователей. Однако, не в меньшей степени опасности со стороны мошенников подвергается и бизнес — так же целенаправленно, по отработанным технологиям.

Проблема зачастую в том, что предприниматели и не знают, что их деньги сливаются в «чёрную дыру», до тех пор пока утечка не станет такой, что её заметит и самый недалекий бухгалтер.

Мы много лет занимаемся защитой бизнеса от мошеннических действий с рекламой. Государство нам даже выделяет гранты на исследования и разработку, о чем мы не один раз писали и, наверное, уже надоели всем (последний раз — о вероятности стартапу получить грант от ФСИ).

Если вы — предприниматель, размещаете цифровую рекламу и конверсия не радует — зайдите по этой ссылке и узнайте: не стали ли вы жертвой «скликивания» рекламы. Это бесплатно и ни к чему не обязывает.

Напоминаю, что веду телеграм-канал Русский ИТ бизнес, где ежедневно рассказываю об изнанке бизнесе, об успехах и неудачах (чаще всего).

Приглашаю обсудить будущее в комментариях.