{"id":4859,"title":"\u0422\u0435\u0441\u0442 \u0434\u043b\u044f \u043f\u0440\u043e\u0434\u0430\u043a\u0442\u043e\u0432: vc.ru \u0432 \u0432\u0430\u0448\u0438\u0445 \u0440\u0443\u043a\u0430\u0445","url":"\/redirect?component=advertising&id=4859&url=https:\/\/vc.ru\/special\/bettervc&hash=06e04557a2c39e6c33fa846ba405896b7fed5804f421a1db543b59166c87d7da","isPaidAndBannersEnabled":false}
Медиа
Svetlana Petryanina

SameSite Cookies, Chrome 80, Privacy Sandbox - что к чему?

Зачем Google спешит похоронить cookies, и во что это выльется для всех остальных.

В чем смысл последних обновлений Chrome?

С 2016 года Chromium поддерживает параметр куков SameSite, который, как следует из названия, ограничивает передачу куков пределами одного сайта. У параметра есть три состояния, которые разрешают передачу куков:

  • Strict — исключительно внутри сайта;
  • Lax — внутри сайта и для прямых переходов по ссылке;
  • None — по всем межсайтовым запросам.

В теории SameSite помогает обезопасить данные от необоснованного трекинга и межсайтовых подделок запроса — CSRF. Но если разработчики сайта не настроили параметр, сервер автоматически выставляет SameSite=None и обращается с куками как со сторонними, свободно отправляя их направо и налево. Спойлер: по данным Google на март 2019, SameSite был проставлен лишь у 0,1% куков.

Поэтому в мае 2019 Google с Microsoft опубликовали проект “Incrementally Better Cookies”, где предложили по умолчанию считать все куки куками первого порядка. В виде эксперимента эти настройки были введены для небольшого числа пользователей Chrome еще в октябре 2019 года. А уже в феврале 2020 Google официально внес новые правила в Chrome 80 Stable. Теперь отправлять куки сторонним доменам можно только через HTTPS, предварительно поменяв атрибут нужных куков с дефолтного SameSite=Lax на SameSite=None.

Пока что новые настройки выкатили среди нескольких процентов пользователей Chrome 80 Stable и увеличивают это число постепенно. С выходом Chrome 81-82 Canary/Dev/Beta новые правила распространятся на 50% пользователей, и их число также будет расширяться.

Аналогичные настройки будут вводить Microsoft Edge и Mozilla Firefox.

Настройки сменились, что дальше?

Если все дружно перейдут на HTTPS и проставят подходящие случаю параметры, то для сайтов, пользователей и рекламодателей принципиально ничего не изменится, интернет будет работать как прежде, просто станет немного безопаснее.

Веселье начнется со следующим шагом в сторону куков получше, так как в представлении Google хорошие куки — это мертвые куки. Google рассчитывает избавиться от сторонних куков за 2 года и взамен предлагает использовать HTTP State Tokens и набор API. Эта инициатива получила название Privacy Sandbox.

Интернет на куках держится. Аутентификация, история просмотров сайтов, страниц и медиа-элементов (вшитый плеер, баннер, кнопка репоста), метрики/ счетчики/трекинги, подстройка страниц под устройство, браузер и пользовательские настройки — везде нужны куки для хранения и передачи релевантных данных от сервера к браузеру и обратно.

Но универсальность куков легко превращается в минус, потому что способствует бесконтрольному трекингу пользователей.

Взамен Гугл предлагает использовать HTTP State Tokens. Процесс в теории выглядит так: браузер отправляет закриптованный токен серверу сайта через заголовок http — только по одному токену на источник и только через безопасное соединение.

Значение токена контролируются клиентом, а не сервером, и выглядит как случайный набор байтов фиксированной длины. Соответственно, сервер не знает о пользователе ничего, но может подписать верифицированные токены своим закриптованным ключом и указать в ответе дополнительные атрибуты: дату создания токена, допустимый контекст передачи (same origin, same site [default], cross site), время действия токена [1 час — default], значение.

Что изменится с отказом от cookies?

Поскольку сайты не смогут отслеживать пользователей без данных о пользователе (опустим фингерпринтинг и прочие обходные пути), придется полностью пересмотреть принципы и механизмы монетизации, завязанной на онлайн-рекламе. Скорее всего, таргетинг на уровне отдельных пользователей уйдет в прошлое.

Google предложил ряд API для решения некоторых задач:

  • Борьба с fraud: сайт через Trust Token API будет выдавать неперсонализированные закриптованные токены доверенным пользователям, которые потом смогут их предъявлять другим сайтам.
  • Счетчик конверсии: в текущем варианте число просмотров с его помощью не определить, только агрегированные данные о кликах.
    Браузер формирует отчеты о конверсии на основе редиректов и отправляет их скопом несколько раз в день по расписанию, разбавив данные шумом. В этих отчетах указываются метаданные о показе, о конверсии, о вкладе показа в конверсию (от 0 до 100).
  • Агрегированные отчеты: API определяет число и частоту просмотров рекламной кампании уникальными пользователями среди нескольких доменов.
  • Таргетинг по интересам: Federated Learning of Cohorts (FLoC). Браузер на основе истории просмотров выделяет широкие когорты пользователей со схожими интересами с помощью алгоритмов машинного обучения и вносит эту информацию в Client Hints (заменит User Agent string).
  • Ретаргетинг: Two Uncorrelated Requests, Then Locally-Executed Decision On Victory (TURTLEDOVE).
    Рекламодатели формируют группы интересов — списки пользователей для ретаргетинга. Браузер регулярно запрашивает рекламу для отдельной группы и сохраняет креативы “про запас”.
    Когда пользователь открывает страницу сайта, браузер запрашивает у рекламодателей контекстуальную рекламу, а затем проводит аукцион между контекстуальной рекламой и заранее загруженной рекламой по интересам.

Хорошо это или плохо?

Общая тенденция — передать контроль над пользовательскими данными пользователю — конечно же правильная. Использование криптографии тоже можно оценивать только позитивно. В то же время отказ от куков спасет только от трекинга по кукам, остается еще довольно способов отследить уникального пользователя, на которые он уже не сможет повлиять.

Гораздо более серьезные проблемы всплывают у онлайн-рекламы. Вслед за данными на сторону пользователя (читай - браузера) перетекает важная функциональность, и как этот переезд воплотить, в общем-то, никто не знает. Предложенные Google API затрагивают далеко не все процессы и еще совсем сырые.

Как на монетизацию издателей повлияет исчезновение персонализированной рекламы? Как изменятся отношения между ad-tech, издателями, рекламодателями и теперь еще и браузером? Возможно ли за два года продумать и воплотить безболезненный переход к интернету без куков? За чей счет? В конце концов, индустрия рекламы использует куки и отслеживает отдельных пользователей, потому что без этого никак или просто потому что может? Время покажет.

{ "author_name": "Svetlana Petryanina", "author_type": "self", "tags": ["samesite","privacy_sandbox","cookies","chrome80","chrome"], "comments": 0, "likes": 4, "favorites": 9, "is_advertisement": false, "subsite_label": "media", "id": 118062, "is_wide": true, "is_ugc": true, "date": "Mon, 06 Apr 2020 13:28:19 +0300", "is_special": false }
0
0 комментариев
Популярные
По порядку
Читать все 0 комментариев
Пластиковый «дом будущего» должен был решить проблему нехватки жилья, а стал аттракционом в Диснейленде Статьи редакции

В конце 50-х архитекторы в США построили здание из пластмассы и «оснастили» его бытовыми предметами грядущих десятилетий — атомной микроволновкой, ультразвуковой посудомойкой, движущимися проекторами, гигантским экраном, пластиковой мебелью и посудой.

У Дома будущего Monsanto было четыре крыла Iconichouses
NASA и SpaceX отправят научный зонд для поиска жизни на спутнике Юпитера в 2024 году Статьи редакции

Запуск миссии Europa Clipper обойдётся в $178 млн — столько NASA выделяет компании Илона Маска по условиям контракта.

Возможности, как в корпорации, а гибкость, как у стартапа. Что думают о своей работе сотрудники DiDi

Пять представителей российского офиса компании рассказали о корпоративной культуре, рабочем дне, языковом барьере, профессиональных вызовах.

Соцсети как инструмент поиска и привлечения сотрудников в крупную компанию

В этом кейсе расскажем, как искали новых "бойцов" для работы в одном из филиалов российского провайдера цифровых услуг и сервисов через Вонтакте и Instagram и привлекли 496 заявок по цене 120 рублей за каждую.

Восточная Техника успешно автоматизирует процессы управления складами на базе решения Columbus-WMS
«Стартап-полка»: Самокат набирает производителей альтернативных продуктов

Онлайн-ритейлер Самокат совместно с Ассоциацией Производителей Альтернативных Пищевых Продуктов объявляют сбор заявок от инновационных производителей продуктов для участия в «стартап-полке» Самоката. Лучшие продукты попадут в постоянный ассортимент Самоката в раздел «Супермаркет» уже этой осенью.

Тренды мобильных игр в 2021 году — обзор индустрии мобильных игр

Индустрия мобильных онлайн-игр — анализ, тенденции и статистика

Можно ли продолжать работать в той же компании после выгорания: история продакт-менеджера Тинькофф

В Тинькофф — 28 000 сотрудников, и у каждого своя история. Кто-то легко справляется с работой, и после всех задач спокойно отключается и идет отдыхать. Другим все может даваться труднее, даже сложно в уйти в отпуск — думает, «как я всё здесь брошу». Мы начинаем серию статей от лица наших сотрудников, которые делятся своим опытом: какие появлялись…

На конференции «B Word» Илон Маск в очередной раз поменял свою позицию по биткоину

В ходе конференции где также присутствовали Джек Дорси и Кэти Вуд, Маск отметил, что он является владельцем биткойнов не только через баланс Tesla и SpaceX, но и лично владеет биткойнами, эфиром и Dogecoin.

Как я попался на офлайн-развод в «Pure», а затем нашел актрису

В этом году я встретил на «Pure» новый для меня вид мошенничества, что стоило мне больше 2352 грн. Смысл развода состоит в том, чтобы завести на свидание в подставное кафе и вынудить оплатить счет с сильно завышенной суммой.

Как мы создали программный продукт для НКО, не имеющий аналогов в России, и (пока что) заработали на нём только геморрой

Это история о том, что бывает, когда одна типичная для некоммерческих организаций черта – ожидание всяческих преференций – выходит на первый план, превращается в требовательную инфантильность и рубит все отношения между заказчиком и исполнителем.
Мы почти бесплатно сделали ПО для НКО на базе Битрикс24, не имеющее аналогов в России, а вместо…

null