Categories
程式開發

谷歌試圖殺死Cookie


谷歌試圖殺死Cookie 1

2020年1月,谷歌Chrome官方博客發布一則重磅消息

為提升用戶隱私和安全,未來兩年,谷歌將在Chrome瀏覽器上逐步淘汰第三方cookie

對此,Chrome工程負責人Justin Schuh解釋稱,“用戶對隱私權的要求變得更高,包括透明度、選擇和控制自己數據的使用方式,web生態系統需要不斷發展來滿足這些日益增長的需求。 “

此前,蘋果、微軟和Mozilla已經採取行動,紛紛禁用第三方cookie。

來自statista的數據表明,截至2019年12月,谷歌Chrome是全球最受歡迎的Web瀏覽器,市場份額遙遙領先,高達69%

谷歌試圖殺死Cookie 2

一位資深技術人士對筆者表示,“就安全性而言,我覺得這是一件好事。至少,我們的個人隱私或偏好不會那麼容易被第三方獲取。不過,對一些網絡廣告商而言,這可能少了一個很大的用戶數據來源,它們可能面臨業務或股價上的一些壓力。“

谷歌的這一舉動將引起一些數字營銷人員的憂慮。更重要的是,任何擁有網站的人都會受到此舉影響,包括品牌、代理商和出版商。因為長期以來,Cookies一直是數字營銷生態系統的命脈

《金融時報》評論谷歌此舉,“為侵入性最強的互聯網跟踪器敲響喪鐘”。

短期內,營銷人員將會失去“精准定位”許多客戶的手段;從長遠來看,數字營銷人員必須找到一種更有持續性的解決方案,它對消費者而言更直接和個性化。

該技術人士說,“隨著這樣一個途徑被堵住,短期之內,廣告商的日子會受到一定影響,但是相信還會出現其他方式通過合法或非法手段收集用戶數據。畢竟,這種攻防遊戲會一直持續下去。”

在他看來,當今,用戶的個性化數據是很多人工智能等技術的基礎,用戶數據變得越來越重要。

認識cookie

相信很多人都經歷過這樣的事:

打開瀏覽器,去京東或天貓搜索iPhone手機,然後當我們去某個新聞網站瀏覽科技信息時,網頁上的廣告就會給你推薦iPhone手機。你心中或許會產生疑問,“這個廣告怎麼這麼準?它怎麼知道我想買iPhone手機?”

別驚訝,廣告之所以能“精準推薦”,Cookie在這個過程中發揮著舉足輕重的作用。

那到底何為cookie?

百度百科解釋為:Cookie,有時也用其複數形式Cookies。類型為“小型文本文件”,是某些網站為辨別用戶身份,進行Session跟踪而儲存在用戶本地終端上的數據(通常經過加密),由用戶客戶端計算機暫時或永久保存的信息。

谷歌試圖殺死Cookie 3

從數字廣告的角度看,第三方cookie被用來記錄用戶瀏覽網站的活動。這樣,以後就可以專門針對該用戶投放其感興趣的廣告

舉個例子,如果你訪問電商平台並瀏覽任天堂Switch的遊戲,你稍後可能會在其他網站上看到相關的視頻遊戲廣告。

Cookie主要用於三個方面

  1. 會話狀態管理,比如用戶登錄狀態、購物車、遊戲分數或其他需要記錄的信息;
  2. 個性化設置,比如用戶自定義設置、主題等;
  3. 瀏覽器行為跟踪,比如跟踪分析用戶行為等

Cookie的問題

Cookie的問題在於個人信息的收集。

隨著時間的發展,所有這些cookie都會收集有關個人的大量信息。然後,這些個人信息可以被合併到詳細的數據庫中。這些數據庫不僅是對個人隱私的嚴重侵犯,而且如果遭到黑客入侵或公開洩露,還會帶來更嚴重的安全風險。

對實施身份盜竊或假冒計劃的犯罪分子來說,它們可是重要“寶藏”,存儲著大量的個人信息。

上述資深技術人士稱,“在HTML5本地存儲相關技術出現前,Cookie是在客戶端保存用戶數據的唯一手段,但cookie本身有很多問題,比如大小限制、明文存儲等。不過,其最大的問題還是安全性。很多的安全漏洞都是源於cookie被竊取。 ”

此外,第三方cookie也給政府機構跟踪個人活動帶來另一種可能性。

2018年5年,《GDPR》在歐盟生效。該隱私保護法案旨在確保用戶知曉公司在收集有關他們的數據,並讓用戶有機會同意共享這些數據。這要求公司在收集哪些信息以及為什麼收集這些信息等問題上保持透明。個人有權訪問自己的所有數據,並控制它們的訪問和使用權限,甚至刪除它們。

在《GDPR》生效後,許多網站都開始添加cookie通知。

谷歌試圖殺死Cookie 4

然而,這並沒有什麼卵用。大多數情況下,人們只是下意識的點擊“同意”並繼續訪問網站。

據悉,麻省理工學院、倫敦大學學院和奧胡斯大學的研究人員對cookie的使用進行了聯合研究。他們分析了5家為英國前10000個網站使用的cookies提供CMP的公司。

許多網站都使用所謂的CMP徵求同意來跟踪cookie

儘管歐盟隱私法律規定,必須告知、具體和自由提供Cookie的同意,但研究表明,只有11.8%的網站符合《GDPR》的最低要求。

我們看到,即使在法律的“大棒”下,Cookie在個人隱私方面依然沒有很大改進。畢竟,它已經支撐了數字廣告25年,無形中成為“一股不可動搖的力量”。

喪鐘敲響

在數字營銷生態系統中,如果有人能為cookie敲響“喪鐘”,那非谷歌莫屬。

現在,cookie喪鐘已鳴。

在谷歌最新發布的Chrome 80穩定版中,cookie策略被調整。

據悉,在 Chrome 80 中,Chrome 會將沒有聲明 SameSite 值的 cookie 默認設置為SameSite=Lax。只有採用SameSite=None; Secure設置的 cookie 可以從外部訪問,前提是通過安全連接(即 HTTPS)訪問。

這個處理 cookie 文件方式的變化就是本次更新的第一項重大更改,它將改變以往用戶隱私被濫用的現象,保證僅能通過 HTTPS 連接訪問跨站 cookie。

除直接的安全優勢外,明確聲明跨站 cookie 還能提高透明度和用戶選擇。例如,瀏覽器可以為用戶提供管理 cookie 時的精細控制,將僅可以在單個網站訪問的 cookie 與可以在多個網站訪問的 cookie 分開。

從技術角度,該技術人士表示,“在使用cookie記錄用戶登錄的基本信息方面,隨著微服務架構的流行,大家更傾向於採用token認證的方式,常見方案比如JWT;而在記錄客戶端數據方面,我們會更多的使用HTML5原生的一些技術,例如localStorage和sessionStorage等。”

寫在最後:

除了瀏覽器廠商的自我改進,我們還可以使用一些工具保護隱私和安全,避免cookie跟踪。筆者使用了4款Chrome插件,分別是Privacy Badger(隱私獾)GhosteryHTTPS Everywhere和Cookie AutoDelete。