SameSite Cookies, Chrome 80, Privacy Sandbox - что к чему?
Зачем Google спешит похоронить cookies, и во что это выльется для всех остальных.
В чем смысл последних обновлений Chrome?
С 2016 года Chromium поддерживает параметр куков SameSite, который, как следует из названия, ограничивает передачу куков пределами одного сайта. У параметра есть три состояния, которые разрешают передачу куков:
- Strict — исключительно внутри сайта;
- Lax — внутри сайта и для прямых переходов по ссылке;
- None — по всем межсайтовым запросам.
В теории SameSite помогает обезопасить данные от необоснованного трекинга и межсайтовых подделок запроса — CSRF. Но если разработчики сайта не настроили параметр, сервер автоматически выставляет SameSite=None и обращается с куками как со сторонними, свободно отправляя их направо и налево. Спойлер: по данным Google на март 2019, SameSite был проставлен лишь у 0,1% куков.
Поэтому в мае 2019 Google с Microsoft опубликовали проект “Incrementally Better Cookies”, где предложили по умолчанию считать все куки куками первого порядка. В виде эксперимента эти настройки были введены для небольшого числа пользователей Chrome еще в октябре 2019 года. А уже в феврале 2020 Google официально внес новые правила в Chrome 80 Stable. Теперь отправлять куки сторонним доменам можно только через HTTPS, предварительно поменяв атрибут нужных куков с дефолтного SameSite=Lax на SameSite=None.
Пока что новые настройки выкатили среди нескольких процентов пользователей Chrome 80 Stable и увеличивают это число постепенно. С выходом Chrome 81-82 Canary/Dev/Beta новые правила распространятся на 50% пользователей, и их число также будет расширяться.
Аналогичные настройки будут вводить Microsoft Edge и Mozilla Firefox.
Настройки сменились, что дальше?
Если все дружно перейдут на HTTPS и проставят подходящие случаю параметры, то для сайтов, пользователей и рекламодателей принципиально ничего не изменится, интернет будет работать как прежде, просто станет немного безопаснее.
Веселье начнется со следующим шагом в сторону куков получше, так как в представлении Google хорошие куки — это мертвые куки. Google рассчитывает избавиться от сторонних куков за 2 года и взамен предлагает использовать HTTP State Tokens и набор API. Эта инициатива получила название Privacy Sandbox.
Интернет на куках держится. Аутентификация, история просмотров сайтов, страниц и медиа-элементов (вшитый плеер, баннер, кнопка репоста), метрики/ счетчики/трекинги, подстройка страниц под устройство, браузер и пользовательские настройки — везде нужны куки для хранения и передачи релевантных данных от сервера к браузеру и обратно.
Но универсальность куков легко превращается в минус, потому что способствует бесконтрольному трекингу пользователей.
Взамен Гугл предлагает использовать HTTP State Tokens. Процесс в теории выглядит так: браузер отправляет закриптованный токен серверу сайта через заголовок http — только по одному токену на источник и только через безопасное соединение.
Значение токена контролируются клиентом, а не сервером, и выглядит как случайный набор байтов фиксированной длины. Соответственно, сервер не знает о пользователе ничего, но может подписать верифицированные токены своим закриптованным ключом и указать в ответе дополнительные атрибуты: дату создания токена, допустимый контекст передачи (same origin, same site [default], cross site), время действия токена [1 час — default], значение.
Что изменится с отказом от cookies?
Поскольку сайты не смогут отслеживать пользователей без данных о пользователе (опустим фингерпринтинг и прочие обходные пути), придется полностью пересмотреть принципы и механизмы монетизации, завязанной на онлайн-рекламе. Скорее всего, таргетинг на уровне отдельных пользователей уйдет в прошлое.
Google предложил ряд API для решения некоторых задач:
- Борьба с fraud: сайт через Trust Token API будет выдавать неперсонализированные закриптованные токены доверенным пользователям, которые потом смогут их предъявлять другим сайтам.
- Счетчик конверсии: в текущем варианте число просмотров с его помощью не определить, только агрегированные данные о кликах.
Браузер формирует отчеты о конверсии на основе редиректов и отправляет их скопом несколько раз в день по расписанию, разбавив данные шумом. В этих отчетах указываются метаданные о показе, о конверсии, о вкладе показа в конверсию (от 0 до 100). - Агрегированные отчеты: API определяет число и частоту просмотров рекламной кампании уникальными пользователями среди нескольких доменов.
- Таргетинг по интересам: Federated Learning of Cohorts (FLoC). Браузер на основе истории просмотров выделяет широкие когорты пользователей со схожими интересами с помощью алгоритмов машинного обучения и вносит эту информацию в Client Hints (заменит User Agent string).
- Ретаргетинг: Two Uncorrelated Requests, Then Locally-Executed Decision On Victory (TURTLEDOVE).
Рекламодатели формируют группы интересов — списки пользователей для ретаргетинга. Браузер регулярно запрашивает рекламу для отдельной группы и сохраняет креативы “про запас”.
Когда пользователь открывает страницу сайта, браузер запрашивает у рекламодателей контекстуальную рекламу, а затем проводит аукцион между контекстуальной рекламой и заранее загруженной рекламой по интересам.
Хорошо это или плохо?
Общая тенденция — передать контроль над пользовательскими данными пользователю — конечно же правильная. Использование криптографии тоже можно оценивать только позитивно. В то же время отказ от куков спасет только от трекинга по кукам, остается еще довольно способов отследить уникального пользователя, на которые он уже не сможет повлиять.
Гораздо более серьезные проблемы всплывают у онлайн-рекламы. Вслед за данными на сторону пользователя (читай - браузера) перетекает важная функциональность, и как этот переезд воплотить, в общем-то, никто не знает. Предложенные Google API затрагивают далеко не все процессы и еще совсем сырые.
Как на монетизацию издателей повлияет исчезновение персонализированной рекламы? Как изменятся отношения между ad-tech, издателями, рекламодателями и теперь еще и браузером? Возможно ли за два года продумать и воплотить безболезненный переход к интернету без куков? За чей счет? В конце концов, индустрия рекламы использует куки и отслеживает отдельных пользователей, потому что без этого никак или просто потому что может? Время покажет.