更新时间:2022年12月3号
什么是Cookie?
Cookie 广泛用于各类网站,以在可行范围内确保最高效、最安全的用户体验。Cookie 是小型文本文件,你访问网站时 Cookie 会被下载至你的个人设备,并存储在你的浏览器上。网站可通过 Cookie 识别用户设备,并存储某些与用户偏好或历史操作相关的数据。
Cookie可以分为第一方cookie和第三方cookie,第三方cookie用途广泛,如程序化广告的频控,广告监测,监测分析都会采用,但现在基本被浏览器封杀了。
各大浏览器对第三方Cookie的封杀
苹果的ITP
第三方Cookie在苹果ITP1.0 到ITP2.3 的连环出击下,废了。
ITP,全称为Intelligent Tracking Prevention,中文译为智能反追踪技术,是苹果在2017年的世界开发者大会WWDC上提出的一项Safari的新功能,为更好地保护苹果产品用户的隐私。后面发布多个版本,从最开始的限制第三方cookie,到现在的限制第一方cookie,非cookie数据。
ITP 1.0
2017年随着Safari 11版本的升级发布给用户,规则做了很大的变动,基本就是灭了第三方cookie的节奏,但也不是出售就直接杀死,而是慢慢来,这一版的规则是;
- 第三方cookie需在24小时在于其主域有交互才可以使用
- 一天后,30天之前的是不可使用的,被隔离,ITP采用机器学习算法判定哪些域名是用于跟踪的域名和对过去24小时未访问的网站用户的cookie进行隔离。
- 30天后会自动清除,不给你生成。
主要注意这里的交互,是要求你访问第三方cookie的域名,就是你要打开第三方站点的网站,有点击,表单提交,这才算操作,如果没有,根本就不能用,这无疑会阻止或限制访问许多用于广告监测和个性化的第三方cookie,降低第三方通过cookie和其他方法跟踪网络用户的能力。
但这对大型的互联网公司,如Google、Facebook影响有限,因为天天使用这两个产品,
ITP 1.0上线时,广告技术公司Criteo的收入立即下降了22%。
ITP 1.1
在ITP 1.0中,对第三方的cookie是很严格的,但是现实中是有很多的情况是还需要第三方cookie的,
例如,很多的网站有嵌入Facebook和推特的服务的,你可以直接在你的网站使用Facebook的点like或喜欢,当你将Facebook的社交插件嵌入你的网站时,用户只有在最近24小时内访问过facebook.com时才能喜欢/评论。否则,用户必须经过一个附加的确认屏幕才能执行所需的操作。如果用户在过去30天内没有访问过facebook.com,则他们必须再次登录(即使他们从未注销过Facebook)。
其次是,ITP将检测到此类多页面嵌入使facebook.com能够跟踪用户跨站点,不同站点都加载你,很容易被识别出来你是提供第三方服务的站点,因此拒绝从facebook.com访问其第一方Cookie的嵌入内容,仅提供隔离的Cookie,所以获取不到信息。
除非用户在过去24小时内与facebook.com作为进行了交互,不然就不能直接使用Facebook的喜欢/评论,这对用户的使用体验很糟糕。
Storage Access API允许使用经过身份验证的嵌入,从而解决了我们的问题。ITP 1.1 的最大更新是引入了Storage Access API,它为嵌入式第三方内容提供了一种机制,可以通过用户交互来摆脱cookie分区。这个授权有两种方式,一种用户主动去操作点击,才会弹出一个询问窗口,一种是通过iframe的的调用就不用通知用户。
ITP1.1的规则是
- 当天有效,而且需要访问第三方站点的网站,与之有交互才可使用;
- 1天之后30天之前是用不了,会对第三方cookie隔离,会对隔离做清除,每小时清除一次,cookie隔离被变成代清除状态的时候,清除后是无法生成新的cookie,也就是被拉黑,你不能再用这个域去生成第三方cookie。
- 30天之后存在直接删除,不在再生成,是拉黑名单了,知道你是跨站跟踪的,不给你生成了。
跟ITP1.0相比主要是第二条不同,也即是在1天之后30天之前,多一个每小时清除的机制。
ITP 2.0
2018年9月ITP 2.0 发布后,删除24小时Cookie访问窗口,苹果就限制了其浏览器上第三方 cookie 的使用,第三方Cookie必须通过经过身份验证的嵌入可以通过Storage Access API来完成,其他被机器学习识别到是跨域跟踪直接隔离删除。
调用Storage Access API形式由用户主动操作变成页面自动弹出,简化了用户的操作:
而且这种身份验证的手续数据使用也做了严格的限制,只有在用户有页面有实际内容的时候才使用,也就是用户要在页面有写评论提交才可以使用第三方cookie。
ITP 2.0 会自动识别中间跳转,并会删除其中的数据,如A-B-C,你从A站点点击到C站点的时候,中间跳转是经过B的,B的数据会被删除的。
向第三方网站传递referral的时候,只传递主域,传递页面,如本来要传递http://www.ichdata.com/about-me.html,现在值传递www.ichdata.com,说是保护用户隐私。
ITP 2.1
Apple在2019年初的时候发布了ITP 2.1版本,第三方cookie会被删,不能隔离cookie,其实是都删除,没必要隔离了,除了登录cookie外的第一方cookie也会在7天之内被删除。
同一个用户在受众分析工具中,每隔7天就会被视作一个新用户。
ITP 2.2
2019年4月,ITP 2.2版本随Safari 12.2发布,特定情况的第一方cookies的寿命由7天变成了1天,注意,不是所有的都变成1天,是符合下面两种情况的才是:
- 域名被是被具有跨站能力,这个就是机器学习去判断
- 使用链接装饰,带有ID,参考gclic的参数。
ITP 2.3
2019年9月发布ITP2.3,对非基于Cookie的Web存储做限制,用链接修饰进行跨站点跟踪,上面的ID会标记为非Cookie网站数据删除,就是通过URL上传递ID标识的方式被封死了;
存储访问的API更新了,因为有些人在第一方cookie限制为7天的时候就想将用户Id通过API写到其他存储里面去。
Storage Access API自两次拒绝后改为不允许,不要过度骚扰用户
在使用Safari七天后,如果用户未与网站上的网页进行交互,则将删除其的所有非cookie网站数据。
虽然Apple不遗余力的屏蔽cookie,但Apple于 2019年5月发布了针对Safari 的实验性归因API,该API支持有限形式的点击转化跟踪,该跟踪直接内置于浏览器且不依赖Cookie。
Firefox的ETP
Firefox也跟进推出了个ETP(全称是Enhanced Tracking Protection,中文名为增强跟踪保护),作用跟ITP类似。
2018年
引入Firefox的增强跟踪保护,用户可以选择阻止来自第三方跟踪器的cookie和存储访问。旨在有效阻止跨站点跟踪的最常见形式。要找到此新选项,请转到Firefox选项/首选项。在左侧菜单上,单击“隐私和安全性”。在“内容阻止”下,单击“第三方Cookie”旁边的复选框,然后选择“跟踪器(推荐)”:
2019年
6 月 4 日起,默认为新用户启用了增强跟踪保护(ETP)。
针对第一次下载和安装 Firefox 的用户,加强跟踪保护将在浏览器的「标准」模式下自动默认开启,拦截 Disconnect 跟踪器清单中已知的第三方跟踪cookies。
针对老用户,默认开启的加强跟踪保护功能将在未来几个月内自动更新上线,你不必做任何改动。如果你想尽快使用,可以在更新流量器后自行开启。
谷歌的Chrome
由于Safari和Firefox等竞争性浏览器也带来了压力,这些浏览器最近添加了激进的措施来阻止在公众中相当受欢迎的第三方Cookie。谷歌目前也在跟进这类措施。
2019年
5月将采取措施防止Chrome中出现指纹。
8月Chrome浏览器的“Privacy Sandbox”已开放,任何提供第三方Cookie的广告技术公司都可以调用该API。包括广告选择,转换测量和防欺诈的潜在用途的情况。
2020年的SameSite
Chrome 80稳定版(版本号v80.0.3987.87)在2020-02-04已正式面向Windows、macOS、Linux、Android和iOS全平台推送,此次更新有很多的改变,但主要关注里面的cookie政策,这次更新的cookie政策明显是为了满足IETF提案《Incrementally Better Cookies》提出的两个关键更改:
- 一是默认值
SameSite=None
变为SameSite=Lax
- 二是会拒绝 insecure 的
SameSite=None
Cookie
Cookie默认设置为SameSite=Lax,会限制第三方cookie的使用,注意是限制,在页面里的跨域图片不会发送 Cookie,但用户点击超链接跳转到其他域仍然会发送。
SameSite = None拒绝不安全的的cookie,要使用第三方cookie,Chrome将要求开发人员将第三方Cookie设置为SameSite = None,并将其标记为安全,使用https的安全形式。
通过停用第三方跟踪cookie以及更新SameSite cookie 的默认状态,Google的总体意图是通过在浏览器级别存储用户的所有数据来为用户提供更大的隐私控制。
2022年
Chrome计划与2022年通过基于浏览器的工具和技术,如Privacy Sandbox之类的机制取代第三方Cookie。在无cookie的未来,Google希望根据其“Privacy Sandbox”设定的标准进行广告定位,衡量和欺诈预防,从而用五个应用程序编程接口代替cookie。
推迟到2024年底了。
Safari的第三方cookie已经死了,但毕竟Safari的份额没那么大,业内推出了很多的一些替代方案,如DigiTrust、Advertising ID Consortium和ID5,但谷歌提出的停用时间表无疑给第三方Cookie宣判了死刑,四五年的时间,几大浏览器厂商就把第三方Cookie给淘汰了,虽然有些方式可以应对,但也一直被围堵的节奏,谁也不知道这种方式还能用多久?目前来看,各大浏览器在剿杀第三方cookie或第一方cookie的时候都留一个通过API去实现衡量归因。
开始对第一方cookie出手
在ITP2.1的时候,苹果就开始对第一方Cookie出手,有效期只有7天。
2022年,Chrome和Firefox也跟进,对第一方Cookie出手,有效期不超过400天,Chrome的在102版本推出。
可以预见,由于各国法律对隐私保护的要求,浏览器会对第一方Cookie出更多的限制。
Google Analytics和Adobe Analytics都积极推出无cookie的解决方案:Google Analytics和Adobe Analytics都推出服务端布署,增强通过通过API的数据跟踪能力。Adobe Analytics推出CJA (Customer Journey Analytics),可以将log日志通过XDM将数据摄取入CJA,实现数据跟踪和整合。而Google Analytics实现没有Cookie也能实现数据的追踪,在UA里是已经支持无Cookie跟踪,而GA4将会有个混合数据的功能,通过机器学习实现数据填充。
总结
随着第三方Cookie被禁止,估计后面会对第一方cookie会有更多的限制。
拓展:业内应对第三方Cookie被禁的方案
随着第三方Cookie被禁的大限的到来,广告行业正在疯狂地寻找可行的替代品,以识别用户并衡量广告活动。
DigiTrust
DigiTrust是由Rubicon Project,Dataxu和OpenX等公司支持的非营利组织,它提供业界第一个也是唯一的中立,独立,非营利的共享ID服务,后面被IAB收购,作为IAB旗下的一个小组。
DigiTrust的原理是聚合第三方 cookie,允许 SSP 和发布商将他们的 cookie 与 DSP 合并,以增强定位,其实就是共享第三方cookie,有一个中立组织去管理。
DigiTrust的ID已被Mozilla的Firefox浏览器阻止,各大浏览器厂家跟进只是时间问题,所以DigiTrust在2020年年中关闭。
广告 ID 联盟由业内领先独立公司数据方、买方和卖方在2017年创立于美国。广告 ID 联盟是为了使程序化广告的买卖双方有机会利用通用Cookie和基于人的标识符的两部分身份框架来创建更相关的广告系列并改善用户体验。这项倡议得到了业界的广泛支持,有30多个平台和技术提供商已签署了加入条款书的证明。
由 LiveRamp 维护
广告ID联盟通过以下方式采用协作方式来解决这些问题:
- 一个开放的标准化池,用于存储Cookie和设备ID。
- 基于人员的标识符的可用性。
- 全渠道身份框架。
- 联盟成员将遵守有关隐私,安全性的最佳实践,包括对数字广告自我监管代码和适用法律的合规要求。
随着AT&T收购AppNexus宣布退出Advertising ID Consortium,使得整个联盟受到很大的影响,已经是跛脚的了。
Unified ID Solution 2.0
Unified ID Solution 2.0 简称UID2.0。这是一个开源和可互操作ID框架,旨在提高相关的广告,同时保护消费者的隐私和透明,无需依赖第三方Cookie,目前是业内参与最广泛的一个方案。
它是创建基于加密和散列电子邮件作为身份ID去替代的第三方cookie,最初由The Trade Desk牵头,后面整个行业多家企业都参与和贡献代码,目前是提交给独立,客观的第三方以及整个行业进行管理和操作。
UID 2.0当依赖通过登录进行身份验证来识别用户,仅在用户共享其电子邮件时才起作用,也就是未登录的用户是识别不了,这是它当前急需解决的问题。
UID 2.0计划在2021年上半年的某个时候正式发布。
这个方案是基于邮箱建立的,国外的邮邮箱使用度高,反观国内的使用度很低,不适合国内,如果应用到国内,估计会采用手机号码。
ID5
ID5由经验丰富的广告技术专家于2017年创立,
ID5使发布者可以创建共享的第一方标识符并将其分配给整个生态系统。
发布者使用ID5的共享ID,将其存储在第一方Cookie上,然后将其传递给与之合作的广告技术供应商-全部使用ID5的Cookie匹配表。实际上,发布商访问ID5的共享ID,将其存储在第一方Cookie中