Комментарии
Что такое сторонние cookie-файлы, почему их теперь блокируют браузеры и к чему это приведёт рынок интернет-рекламы — расследование
Печеньки кончились
Сибирикс
Печеньки кончились
Что такое сторонние cookie-файлы, почему их теперь блокируют браузеры и к чему это приведёт рынок интернет-рекламы — расследование
На какой сайт теперь ни зайди, везде тебя спросят: «Дорогой пользователь, мы используем cookie-файлы, ты же не против?». Ну, если не спросят, то хотя бы поставят перед фактом.
Предупреждение о сборе куки-файлов на сайте сервиса студии Лебедева
Раньше на куки пользователи не обращали внимания, а владельцы сайтов и рекламщики их бездушно использовали. Но когда появился европейский стандарт защиты персональных данных GDPR, владельцам интернет-ресурсов стало не до шуточек: штрафы-то огромные. Россия немного отстает, но тоже ужесточает правила. Об этом мы уже как-то писали в статье о защите пользовательских данных.

Но тут новые неоднозначные новости: Гугл хочет отказаться от сторонних куки-файлов. С одной стороны, здорово: он больше не будет знать, что и где вы смотрели, куда ходили, что кликали и так далее. Безопасности ради. Вот только участники рынка интернет-рекламы, мягко говоря, не в восторге от таких идей.
Cookie-файл — скромный фрагмент данных, который веб-сервер отправляет на компьютер пользователя для хранения. Веб-клиент (браузер) при попытке входа на сайт пересылает этот фрагмент данных веб-серверу в составе HTTP-запроса.

Фактически куки нужны для хранения данных на стороне пользователя, чтобы тот каждый раз не вспоминал пароли и не вводил заново свои предпочтения. Также куки используют для отслеживания поведения пользователей и сбора статистики.

Куки бывают собственными и сторонними, но об этом чуточку позже :)
Что вообще происходит?
Предыстория
Cookie-файлы официально появились и стали использоваться в вебе в октябре 1994, но широкую известность они получили после публикации в Financial Times в 1996.

С той поры долгие годы все использовали cookie-файлы, чтобы отслеживать посетителей сайтов, улучшать работу сайтов для пользователей и собирать данные, чтобы ориентировать свою рекламу на нужную аудиторию. Поэтому-то если вы вдруг поискали клёвый матрас, то контекстная реклама матрасов будет вас преследовать ещё долго. Другой «бонус» куки-файлов — с их помощью вы можете следить за тем, что ищут пользователи в онлайне, не находясь при этом на вашем сайте.

Ощущение вечной слежки многим не нравилось. Плюс одна за другой происходили утечки данных. В ответ на проблемы с конфиденциальностью данных появился GDPR, и посетителей сайтов стали спрашивать, не против ли они, что сайт использует cookie. Но понятно же, что соглашаясь на это, пользователь даёт зелёный свет отслеживанию всех своих действий.
Усиление конфиденциальности
Первыми блокировать куки-файлы решились разработчики браузера Mozilla Firefox — с помощью функции Enhanced Tracking Protection, которую они тестируют с июня 2019-го. Причём, блокировка касается только так называемых сторонних cookie-файлов.
Да-да, есть два типа куки-файлов. Хотя Википедия говорит, что видов четыре.

Собственные куки — это код, который генерируется и сохраняется по умолчанию на устройстве посетителя сайта, когда тот на него заходит. Эти файлы часто используются для того самого удобства пользователей: они хранят пароли, основные данные о посетителе и его предпочтениях. С помощью собственных куки можно узнать, что пользователи делали во время сеанса, увидеть частоту посещений и получить базовую аналитику своей CMS: количество сессий, типы браузеров, демографию и источники переходов. И да, собственные куки ничего не расскажут о том, что посетители делают в интернете вне вашего сайта.

Сторонние куки — это код слежения, размещаемый на устройстве пользователя после того, как тот посетит один из сайтов в интернете. Когда юзер зайдёт уже на ваш сайт или любые другие ресурсы, сторонний cookie-файл соберёт эту информацию и отправит ее третьему лицу — создателю этого файла (скорее всего, это будет рекламодатель). Сторонние куки могут рассказать об общем поведении пользователя в интернете: какие сайты он часто посещает, какие у него интересы, какие покупки совершает. С помощью таких куки рекламщики легко настраивают ретаргетинг.

Если проще, то cookie-файлы, которые соответствуют домену текущего сайта (того, что отображается в адресной строке браузера), — называются собственными. Аналогично, cookie-файлы с доменов, отличных от текущего сайта, называются сторонними. Всё зависит от контекста пользователя: один и тот же cookie-файл может быть и собственным, и сторонним в зависимости от того, на каком сайте в данный момент находится юзер.
Отказ Гугла от сторонних куки
В январе 2020 Гугл пообещал отключить сторонние файлы cookie в браузерах Chrome к 2022 году. В своём блоге компания объясняет это решение требованиями пользователей к большей конфиденциальности данных. Вместо сторонних куки как альтернативу Гугл предложил изолированную программную среду под названием Google Privacy Sandbox.
Google Privacy Sandbox — инструмент, который позволит маркетологам продолжать публиковать и распространять рекламу среди нужной аудитории, не накапливая при этом огромное количество данных пользователей.

Объем пользовательских данных, которыми обмениваются сайты и рекламодатели, будут сведен к минимуму благодаря анонимному объединению информации о пользователях и сохранению гораздо большего объема данных только на устройствах юзеров. Новая цель Гугла — создать набор стандартов, который больше соответствует ожиданиям пользователей в отношении конфиденциальности. По крайней мере, они так говорят.

Самый значимый элемент гугловской Google Privacy Sandbox — предложение переместить все пользовательские данные в браузер (конечно же, в Chrome), где они будут храниться и обрабатываться. За счет этого будут соблюдаться требования конфиденциальности.

4 февраля 2020 вышло обновление Google Chrome, где есть два важных изменения:

  1. Если при создании cookies не задано значение параметра SameSite, то это значение по умолчанию изменится с None на Lax.
  2. Если у cookie со значением SameSite=None не будет параметра Secure, то браузер отклонит cookie.
Из-за этих изменений трекинг-системы не смогут считывать cookies пользователя и следить за его перемещениями между сайтами. Как следствие — системы рекламного трекинга могут ошибаться и не связывать целевые действия с переходами пользователей от площадки вебмастера на сайты рекламодателей.
Предупреждения Гугл-переводчика о том, что теперь он не будет хранить историю переводов. Конец февраля 2020 г.
Хотя отказ от куки планировали растянуть на два ближайших года, видно, что кое-что уже серьёзно поменялось. Но почему Гугл не торопится с абсолютной блокировкой куки? Всё просто: компания боится потерять рекламодателей и разрушить [свой] прибыльный бизнес онлайн-рекламы. Представители компании считают, что моментальная блокировка вообще всех сторонних куки может привести к непредвиденным последствиям, которые могут негативно повлиять как на пользователей, так и на веб-экосистему.
Мнение общественности
Рекламодатели США недовольны заявлениями Гугла — в своём январском обращении они попросили отложить запрет отслеживания cookies до 2022 года, пока корпорация не предложит какое-то альтернативное решение.

Как вариант, вместо куки предлагают создать некий единый User ID совместно с госорганами, медиа и разработчиками браузеров. В качестве идентификатора пользователя может быть, например, email. Либо, как вариант, — технологии дактилоскопии (которые тоже не являются особенно конфиденциальными). Правда, непонятно, как это защитит от передачи данных третьим лицам :) И ещё более непонятно, зачем какой-то новый ID, если на деле уже есть IdentityLink — технология, которая объединяет наборы данных о миллионах пользователей (их куки) и создаёт анонимный профиль пользователя в виде 19-значного ID (о ней мы подробнее писали тут).

Тем не менее, уже создан отдельный European NET ID, в котором участвуют несколько крупных издателей рекламного бизнеса и 20+ сайтов — пользователи могут переходить между этими площадками без необходимости логиниться на каждом ресурсе заново.

Похоже, что эта инициатива кончится множеством разрозненных UserID без крупного игрока, который мог бы управлять этим хаосом. От чего ушли, к тому пришли — куки как раз критиковались за то, что для них нет централизованного механизма, который позволил бы потребителям передавать свои предпочтения приватности сайтам на всех платформах.

Бездумный отказ от куки, по мнению Гугла, и переход на другие сомнительные методы вроде дактилоскопии фактически могут снизить конфиденциальность и контроль над данными пользователей. В Гугле считают, что могут и должны добиться успеха каким-то иным способом. Каким — пока вопрос.

Между тем, в период между введением правил GDPR, которые повлияли на отслеживание данных, и намерениями Гугла, о судьбе сторонних куки-файлов уже не раз думали и хотели списать их как нечто устаревшее. Их недолговечность была столь очевидна, что рекламные фирмы искали альтернативные решения ещё до объявления Гугла об отказе от куки-файлов.
На данный момент компании по управлению данными вроде Permutive ищут возможность создания альтернативных инструментов для рекламодателей, которые бы в большей степени использовали собственные куки-файлы и анонимные профили посетителей — по факту, это то же, что предлагает Google Privacy Sandbox.
Какими могут быть последствия
Отказ от сторонних куки-файлов, вроде бы, полезен для конфиденциальности пользователей, но ожидаемо нанесёт ущерб большинству рекламных платформ, которые используют эти файлы для получения прибыли.

И здесь умные люди задают вопрос: зачем Гуглу отказываться от источника своего же дохода (он ведь сам юзает куки для своих коммерческих целей)?! Похоже, что прибыль тех самых сторонних рекламных платформ (которые тоже использовали такие куки) просто переместится в карман корпорации-монстра за счёт собственных куки-файлов, которые никто не отменял (и которые будут доступны только Гуглу через браузер Хром. А ещё очень похоже, что технологический гигант собирается подорвать здоровую конкуренцию в рекламном пространстве.

Другой ощутимый минус — убытки для владельцев сайтов, которые раньше сотрудничали с рекламными сетями. Нет куки — нет таргетинга, нет таргетинга — нет клиентов. Так что теперь им придётся думать больше в сторону нативной рекламы или искать новые источники прибыли.

Для рекламщиков же последствия куда серьёзнее — отказ от сторонних cookie-файлов может повлиять на точность показов рекламы и охваты. А значит, и на доверие к их бизнесу в целом.
Если все откажутся от cookie (что ну очень мало вероятно), то придумают другой механизм хранения данных о пользователях (потому что без этого вообще ничего в интернете работать не будет), и всё будет почти как раньше.
А пока выглядит так, что Гугл затруднит работы сторонних рекламных компаний, оставив для себя в хроме лазейки.


Иван
Технический директор
Что теперь делать
В конце 2019 года Google Chrome занимал более 56% рынка браузеров, также на него приходится более половины всего мирового веб-трафика. Поэтому новшества с куки затронут очень многих.
Статистика по браузерам — источник
Если ваша компания строит бизнес на данных пользователей, то пора думать о том, как перестать зависеть от данных из файлов куки. Если вы занимались арбитражом трафика или таргетингом, пора искать новые методы и менее уязвимые рекламные альтернативы. А если вы были простым пользователем, которому не нравилось ощущение «под колпаком», то можно порадоваться. Хотя, мы почему-то уверены, что корпорации найдут, как ещё за вами следить, и без всяких куки :)