SameSite Cookies, Chrome 80, Privacy Sandbox – что к чему?

Зачем Google спешит похоронить cookies, и во что это выльется для всех остальных.

В чем смысл последних обновлений Chrome?

С 2016 года Chromium поддерживает параметр куков SameSite, который, как следует из названия, ограничивает передачу куков пределами одного сайта. У параметра есть три состояния, которые разрешают передачу куков:

• Strict – исключительно внутри сайта;
• Lax – внутри сайта и для прямых переходов по ссылке;
• None – по всем межсайтовым запросам.

В теории SameSite помогает обезопасить данные от необоснованного трекинга и межсайтовых подделок запроса – CSRF. Но если разработчики сайта не настроили параметр, сервер автоматически выставляет SameSite=None и обращается с куками как со сторонними, свободно отправляя их направо и налево. Спойлер: по данным Google на март 2019, SameSite был проставлен лишь у 0,1% куков.

Поэтому в мае 2019 Google с Microsoft опубликовали проект “Incrementally Better Cookies”, где предложили по умолчанию считать все куки куками первого порядка. В виде эксперимента эти настройки были введены для небольшого числа пользователей Chrome еще в октябре 2019 года. А уже в феврале 2020 Google официально внес новые правила в Chrome 80 Stable. Теперь отправлять куки сторонним доменам можно только через HTTPS, предварительно поменяв атрибут нужных куков с дефолтного SameSite=Lax на SameSite=None.

Пока что новые настройки выкатили среди нескольких процентов пользователей Chrome 80 Stable и увеличивают это число постепенно. С выходом Chrome 81-82 Canary/Dev/Beta новые правила распространятся на 50% пользователей, и их число также будет расширяться.

Аналогичные настройки будут вводить Microsoft Edge и Mozilla Firefox.

Настройки сменились, что дальше?

Если все дружно перейдут на HTTPS и проставят подходящие случаю параметры, то для сайтов, пользователей и рекламодателей принципиально ничего не изменится, интернет будет работать как прежде, просто станет немного безопаснее.

Веселье начнется со следующим шагом в сторону куков получше, так как в представлении Google хорошие куки – это мертвые куки. Google рассчитывает избавиться от сторонних куков за 2 года и взамен предлагает использовать HTTP State Tokens и набор API. Эта инициатива получила название Privacy Sandbox.

Интернет на куках держится. Аутентификация, история просмотров сайтов, страниц и медиа-элементов (вшитый плеер, баннер, кнопка репоста), метрики / счетчики / трекинги, подстройка страниц под устройство, браузер и пользовательские настройки – везде нужны куки для хранения и передачи релевантных данных от сервера к браузеру и обратно.

Но универсальность куков легко превращается в минус, потому что способствует бесконтрольному трекингу пользователей.

Взамен Гугл предлагает использовать HTTP State Tokens. Процесс в теории выглядит так: браузер отправляет закриптованный токен серверу сайта через заголовок http – только по одному токену на источник и только через безопасное соединение.

Значение токена контролируются клиентом, а не сервером, и выглядит как случайный набор байтов фиксированной длины. Соответственно, сервер не знает о пользователе ничего, но может подписать верифицированные токены своим закриптованным ключом и указать в ответе дополнительные атрибуты: дату создания токена, допустимый контекст передачи (same origin, same site [default], cross site), время действия токена [1 час – default], значение.

Что изменится с отказом от cookies?

Поскольку сайты не смогут отслеживать пользователей без данных о пользователе (опустим фингерпринтинг и прочие обходные пути), придется полностью пересмотреть принципы и механизмы монетизации, завязанной на онлайн-рекламе. Скорее всего, таргетинг на уровне отдельных пользователей уйдет в прошлое.

Google предложил ряд API для решения некоторых задач:

• Борьба с fraud: сайт через Trust Token API будет выдавать неперсонализированные закриптованные токены доверенным пользователям, которые потом смогут их предъявлять другим сайтам.
• Счетчик конверсии: в текущем варианте число просмотров с его помощью не определить, только агрегированные данные о кликах. Браузер формирует отчеты о конверсии на основе редиректов и отправляет их скопом несколько раз в день по расписанию, разбавив данные шумом. В этих отчетах указываются метаданные о показе, о конверсии, о вкладе показа в конверсию (от 0 до 100).
• Агрегированные отчеты: API определяет число и частоту просмотров рекламной кампании уникальными пользователями среди нескольких доменов.
• Таргетинг по интересам: Federated Learning of Cohorts (FLoC). Браузер на основе истории просмотров выделяет широкие когорты пользователей со схожими интересами с помощью алгоритмов машинного обучения и вносит эту информацию в Client Hints (заменит User Agent string).
• Ретаргетинг: Two Uncorrelated Requests, Then Locally-Executed Decision On Victory (TURTLEDOVE). Рекламодатели формируют группы интересов – списки пользователей для ретаргетинга. Браузер регулярно запрашивает рекламу для отдельной группы и сохраняет креативы “про запас”. Когда пользователь открывает страницу сайта, браузер запрашивает у рекламодателей контекстуальную рекламу, а затем проводит аукцион между контекстуальной рекламой и заранее загруженной рекламой по интересам.

Хорошо это или плохо?

Общая тенденция – передать контроль над пользовательскими данными пользователю – конечно же правильная. Использование криптографии тоже можно оценивать только позитивно. В то же время отказ от куков спасет только от трекинга по кукам, остается еще довольно способов отследить уникального пользователя, на которые он уже не сможет повлиять.

Гораздо более серьезные проблемы всплывают у онлайн-рекламы. Вслед за данными на сторону пользователя=браузера перетекает важная функциональность, и как этот переезд воплотить, в общем-то, никто не знает. Предложенные Google API затрагивают далеко не все процессы и еще совсем сырые.

Как на монетизацию издателей повлияет исчезновение персонализированной рекламы? Как изменятся отношения между ad-tech, издателями, рекламодателями и теперь еще и браузером? Возможно ли за два года продумать и воплотить безболезненный переход к интернету без куков, и за чей счет? В конце концов, индустрия рекламы использует куки и отслеживает отдельных пользователей, потому что без этого никак или просто потому что может? Время покажет.