{"id":4879,"title":"\u0427\u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0443\u0441\u043f\u0435\u0442\u044c, \u043f\u043e\u043a\u0430 \u0432\u044b \u0447\u0438\u0442\u0430\u0435\u0442\u0435 \u044d\u0442\u0443 \u0441\u0442\u0430\u0442\u044c\u044e","url":"\/redirect?component=advertising&id=4879&url=https:\/\/vc.ru\/otpbank\/266952&hash=82572a4a372a00657a2afc359f19a24c0bd24be8cecbd743f0681209c07c9a3a","isPaidAndBannersEnabled":false}
Медиа
Svetlana Petryanina

SameSite Cookies, Chrome 80, Privacy Sandbox - что к чему?

Зачем Google спешит похоронить cookies, и во что это выльется для всех остальных.

В чем смысл последних обновлений Chrome?

С 2016 года Chromium поддерживает параметр куков SameSite, который, как следует из названия, ограничивает передачу куков пределами одного сайта. У параметра есть три состояния, которые разрешают передачу куков:

  • Strict — исключительно внутри сайта;
  • Lax — внутри сайта и для прямых переходов по ссылке;
  • None — по всем межсайтовым запросам.

В теории SameSite помогает обезопасить данные от необоснованного трекинга и межсайтовых подделок запроса — CSRF. Но если разработчики сайта не настроили параметр, сервер автоматически выставляет SameSite=None и обращается с куками как со сторонними, свободно отправляя их направо и налево. Спойлер: по данным Google на март 2019, SameSite был проставлен лишь у 0,1% куков.

Поэтому в мае 2019 Google с Microsoft опубликовали проект “Incrementally Better Cookies”, где предложили по умолчанию считать все куки куками первого порядка. В виде эксперимента эти настройки были введены для небольшого числа пользователей Chrome еще в октябре 2019 года. А уже в феврале 2020 Google официально внес новые правила в Chrome 80 Stable. Теперь отправлять куки сторонним доменам можно только через HTTPS, предварительно поменяв атрибут нужных куков с дефолтного SameSite=Lax на SameSite=None.

Пока что новые настройки выкатили среди нескольких процентов пользователей Chrome 80 Stable и увеличивают это число постепенно. С выходом Chrome 81-82 Canary/Dev/Beta новые правила распространятся на 50% пользователей, и их число также будет расширяться.

Аналогичные настройки будут вводить Microsoft Edge и Mozilla Firefox.

Настройки сменились, что дальше?

Если все дружно перейдут на HTTPS и проставят подходящие случаю параметры, то для сайтов, пользователей и рекламодателей принципиально ничего не изменится, интернет будет работать как прежде, просто станет немного безопаснее.

Веселье начнется со следующим шагом в сторону куков получше, так как в представлении Google хорошие куки — это мертвые куки. Google рассчитывает избавиться от сторонних куков за 2 года и взамен предлагает использовать HTTP State Tokens и набор API. Эта инициатива получила название Privacy Sandbox.

Интернет на куках держится. Аутентификация, история просмотров сайтов, страниц и медиа-элементов (вшитый плеер, баннер, кнопка репоста), метрики/ счетчики/трекинги, подстройка страниц под устройство, браузер и пользовательские настройки — везде нужны куки для хранения и передачи релевантных данных от сервера к браузеру и обратно.

Но универсальность куков легко превращается в минус, потому что способствует бесконтрольному трекингу пользователей.

Взамен Гугл предлагает использовать HTTP State Tokens. Процесс в теории выглядит так: браузер отправляет закриптованный токен серверу сайта через заголовок http — только по одному токену на источник и только через безопасное соединение.

Значение токена контролируются клиентом, а не сервером, и выглядит как случайный набор байтов фиксированной длины. Соответственно, сервер не знает о пользователе ничего, но может подписать верифицированные токены своим закриптованным ключом и указать в ответе дополнительные атрибуты: дату создания токена, допустимый контекст передачи (same origin, same site [default], cross site), время действия токена [1 час — default], значение.

Что изменится с отказом от cookies?

Поскольку сайты не смогут отслеживать пользователей без данных о пользователе (опустим фингерпринтинг и прочие обходные пути), придется полностью пересмотреть принципы и механизмы монетизации, завязанной на онлайн-рекламе. Скорее всего, таргетинг на уровне отдельных пользователей уйдет в прошлое.

Google предложил ряд API для решения некоторых задач:

  • Борьба с fraud: сайт через Trust Token API будет выдавать неперсонализированные закриптованные токены доверенным пользователям, которые потом смогут их предъявлять другим сайтам.
  • Счетчик конверсии: в текущем варианте число просмотров с его помощью не определить, только агрегированные данные о кликах.
    Браузер формирует отчеты о конверсии на основе редиректов и отправляет их скопом несколько раз в день по расписанию, разбавив данные шумом. В этих отчетах указываются метаданные о показе, о конверсии, о вкладе показа в конверсию (от 0 до 100).
  • Агрегированные отчеты: API определяет число и частоту просмотров рекламной кампании уникальными пользователями среди нескольких доменов.
  • Таргетинг по интересам: Federated Learning of Cohorts (FLoC). Браузер на основе истории просмотров выделяет широкие когорты пользователей со схожими интересами с помощью алгоритмов машинного обучения и вносит эту информацию в Client Hints (заменит User Agent string).
  • Ретаргетинг: Two Uncorrelated Requests, Then Locally-Executed Decision On Victory (TURTLEDOVE).
    Рекламодатели формируют группы интересов — списки пользователей для ретаргетинга. Браузер регулярно запрашивает рекламу для отдельной группы и сохраняет креативы “про запас”.
    Когда пользователь открывает страницу сайта, браузер запрашивает у рекламодателей контекстуальную рекламу, а затем проводит аукцион между контекстуальной рекламой и заранее загруженной рекламой по интересам.

Хорошо это или плохо?

Общая тенденция — передать контроль над пользовательскими данными пользователю — конечно же правильная. Использование криптографии тоже можно оценивать только позитивно. В то же время отказ от куков спасет только от трекинга по кукам, остается еще довольно способов отследить уникального пользователя, на которые он уже не сможет повлиять.

Гораздо более серьезные проблемы всплывают у онлайн-рекламы. Вслед за данными на сторону пользователя (читай - браузера) перетекает важная функциональность, и как этот переезд воплотить, в общем-то, никто не знает. Предложенные Google API затрагивают далеко не все процессы и еще совсем сырые.

Как на монетизацию издателей повлияет исчезновение персонализированной рекламы? Как изменятся отношения между ad-tech, издателями, рекламодателями и теперь еще и браузером? Возможно ли за два года продумать и воплотить безболезненный переход к интернету без куков? За чей счет? В конце концов, индустрия рекламы использует куки и отслеживает отдельных пользователей, потому что без этого никак или просто потому что может? Время покажет.

{ "author_name": "Svetlana Petryanina", "author_type": "self", "tags": ["samesite","privacy_sandbox","cookies","chrome80","chrome"], "comments": 0, "likes": 4, "favorites": 9, "is_advertisement": false, "subsite_label": "media", "id": 118062, "is_wide": true, "is_ugc": true, "date": "Mon, 06 Apr 2020 13:28:19 +0300", "is_special": false }
0
0 комментариев
Популярные
По порядку
Читать все 0 комментариев
Возможности, как в корпорации, а гибкость, как у стартапа. Что думают о своей работе сотрудники DiDi

Пять представителей российского офиса компании рассказали о корпоративной культуре, рабочем дне, языковом барьере, профессиональных вызовах.

Пластиковый «дом будущего» должен был решить проблему нехватки жилья, а стал аттракционом в Диснейленде Статьи редакции

В конце 50-х архитекторы в США построили здание из пластмассы и «оснастили» его бытовыми предметами грядущих десятилетий — атомной микроволновкой, ультразвуковой посудомойкой, движущимися проекторами, гигантским экраном, пластиковой мебелью и посудой.

У Дома будущего Monsanto было четыре крыла Iconichouses
Тинькофф хитрит со спецпредложением по кэшбеку во Вкусвилл

В июле доступно спецпредложение - кэшбек 10% во Вкусвилл. Тинькофф деактивировал его и перенес дату окончания.

«Стартап-полка»: Самокат набирает производителей альтернативных продуктов

Онлайн-ритейлер Самокат совместно с Ассоциацией Производителей Альтернативных Пищевых Продуктов объявляют сбор заявок от инновационных производителей продуктов для участия в «стартап-полке» Самоката. Лучшие продукты попадут в постоянный ассортимент Самоката в раздел «Супермаркет» уже этой осенью.

На конференции «B Word» Илон Маск в очередной раз поменял свою позицию по биткоину

В ходе конференции где также присутствовали Джек Дорси и Кэти Вуд, Маск отметил, что он является владельцем биткойнов не только через баланс Tesla и SpaceX, но и лично владеет биткойнами, эфиром и Dogecoin.

Восточная Техника успешно автоматизирует процессы управления складами на базе решения Columbus-WMS
Можно ли продолжать работать в той же компании после выгорания: история продакт-менеджера Тинькофф

В Тинькофф — 28 000 сотрудников, и у каждого своя история. Кто-то легко справляется с работой, и после всех задач спокойно отключается и идет отдыхать. Другим все может даваться труднее, даже сложно в уйти в отпуск — думает, «как я всё здесь брошу». Мы начинаем серию статей от лица наших сотрудников, которые делятся своим опытом: какие появлялись…

Карьерный путь IT-инженера: от Долины к стабильной британской компании через стартапы и психотерапию

Мы поговорили об этом с Георгием, который за 20 лет карьеры сменил несколько компаний и парочку направлений: успел поработать в Кремниевой долине, побыть фрилансером, поруководить стартапом и даже позаниматься консультациями в качестве психотерапевта. Он расскажет о своем пути и поделится инсайтами о смене работы, поиске себя и борьбе с…

NASA и SpaceX отправят научный зонд для поиска жизни на спутнике Юпитера в 2024 году Статьи редакции

Запуск миссии Europa Clipper обойдётся в $178 млн — столько NASA выделяет компании Илона Маска по условиям контракта.

Какие агро-стартапы получили больше всего инвестиций за июль 2021

Общая сумма финансирования проектов из подборки почти $800 млн.

Что случилось со средним классом в США и есть ли пузырь на рынке недвижимости?
null