SN Logo SN Icon
союз
Браузер, который все о нас знал: как работают cookies и кому они нужны

редакция сверхновой

10 августа, 2021

Иллюстрация: Анастасия Сорокоумова

Этот текст опубликован до 24 февраля 2022 года. У него есть автор, но из соображений безопасности мы называем не все имена.

В начале 2021 года казалось: IT-гиганты вот-вот откажутся от cookies. А это значит, при посещении нового сайта мы больше не увидим надоедливое предупреждение о незаметной слежке за нашими действиями в интернете. По крайней мере, компания Google обещала, что перестанет поддерживать использование этого инструмента в своем браузере Chrome. Многие технологические обозреватели предвкушали начало новой эры интернета — более лояльного к пользователю, а не к рекламодателям. Однако в какой-то момент будущее было отложено, и восторжествовал статус-кво. Чем это нам грозит, стоит ли бояться куки и кому они вообще нужны? Публикуем текст, вдохновленный дискуссиями в СОЮЗе и написанный совместно с одним из его участников.

О чем речь?

Куки (cookie) — это небольшие фрагменты данных, которые хранятся в браузере в виде отдельных текстовых файлов. Обычно их посылает веб-сервер, но их также можно создавать в браузере с помощью JavaScript. Эти данные включаются при каждом запросе на сервер. При этом сервер может читать и писать куки только для своего доменного имени.

Куки помогают решить несколько задач, вот три основные:

Авторизация

Когда вы вводите логин и пароль на сайте, он отправляется на сервер, проверяется, и если все хорошо, то в ответ вам приходит сообщение об успешной авторизации и зашифрованный идентификатор сессии. С этого момента при каждом обращении к сайту эта сессия будет отправляться вместе с запросом. Так сервер узнает, что данные запрашиваете именно вы.

Авторизация

Когда вы вводите логин и пароль на сайте, он отправляется на сервер, проверяется, и если все хорошо, то в ответ вам приходит сообщение об успешной авторизации и зашифрованный идентификатор сессии. С этого момента при каждом обращении к сайту эта сессия будет отправляться вместе с запросом. Так сервер узнает, что данные запрашиваете именно вы.

Отслеживание

Компании любят собирать данные о действиях и предпочтениях пользователей, да и вообще обо всем, до чего могут дотянуться. Эти данные продают и покупают. Чтобы выйти за границы своего сервера, вебмастера должны внедрить их на страницы, которые позже откроет посетитель. Прикрываются обычно какими-нибудь важными инструментами: счетчиками пользователей, полезными скриптами или рекламными блоками.

Иллюстрация: Анастасия Сорокоумова

Какие есть альтернативы?

Безусловно, тот факт, что за вашей сетевой жизнью следят, не вызывает восторга. Если верить опросу Pew Research Centre за 2019 год, по мнению 72% пользователей в США, Google записывает каждое их действие. Без пристального наблюдения за людьми не работал бы рекламный бизнес в интернете. Из того же исследования следует: 40% опрошенных готовы попрощаться с продуктами компании, если обнаружат, что личную информацию передают третьим лицам без их ведома. Согласно статистике поисковой системы Google, за последние несколько лет люди стали чаще искать в сети информацию о защите персональных данных.

Чтобы не потерять доверие пользователей, IT-гиганты так или иначе будут вынуждены придумать альтернативу куки. Компания Google не первая забеспокоилась на этот счет. Firefox и Safari уже отказались от внешних куки. Другое дело, что Google — один из крупнейших игроков на рынке, поэтому выбор корпорации будет иметь весомое значение. В качестве замены куки компания предлагает технологию FLoC, которая входит в большой проект по обеспечению пользовательской безопасности Privacy Sandbox. Новый алгоритм должен был уже запуститься весной 2021 года, но с одной стороны, помешала проверка британских регулировщиков, с другой — сами инженеры Google признаются, что продукт не до конца готов. Поэтому руководство IT-корпорации решило перенести запуск нового инструмента на вторую половину 2023 года.

Рекламодатели и компании-конкуренты с облегчением выдохнули. Инсайдеры индустрии признают: пока ни у кого нет цельного видения интернета после куки. Необходимость перемен под сомнение никто не ставит. Но как сделать, чтобы и реклама по-прежнему была эффективной, и пользователи чувствовали бы себя защищенными, — ясный ответ на этот вопрос сегодня еще никто не готов предложить. Будет ли будущее за FLoC или какой-то другой технологией, которую сейчас разрабатывают другие компании, покажет время.

Federated Learning of Cohorts (FLoC) от Google

Суть этой технологии в том, что данные пользователя не покидают браузера. Таргетинг рекламы ориентирован не на конкретного пользователя интернета, а на группу с похожим поведением (когорта). Работает это так:

  • браузер запрашивает у FLoC-сервиса описание нескольких когорт
  • исходя из последних действий и истории поведения пользователя, браузер выбирает подходящую когорту
  • если на странице встречается поставщик рекламных блоков, который поддерживает FLoC, то ему отправляется идентификатор когорты
  • поставщик рекламы отдает браузеру рекламу, которая подходит этой когорте

Отметим, что когорта у браузера не постоянна и будет меняться в зависимости от действия пользователя. При этом, чем больше в группе подходящих по поведению пользователей, тем анонимней эта когорта. Но чем меньше, тем более релевантна реклама.

Эксперты отрасли встретили инициативу Google с критикой. Например, штатный технолог команды Tech Projects из EFF Беннет Сайферз, в своей статье «Google’s FLoC Is a Terrible Idea» пишет о том, что «FLoC призван стать новым способом заставить браузер выполнять профилирование: ваша недавняя онлайн-активность „сжимается“ до поведенческой метки, которая затем используется для обмена между сайтами и рекламодателями». Разработчики WordPress, поддерживая тревогу EFF относительно внедрения новой технологии от Google, предложили патч для отключения поддержки FLoC в их ПО.

Брендан Эйх, генеральный директор и соучредитель Brave, совместно с Питером Снайдером, старшим научным сотрудником по вопросам конфиденциальности в Brave, объяснили почему поддержка FLoC не будет включена в разрабатываемый ими браузер: программа предназначена для того, чтобы обеспечить конфиденциальность пользователя, но по факту только вредит ему.

SWAN от PubMatic и OpenX вместе с Zeta Global

Суть этого предложения отличается от FLoC: при первом посещении сайта с поддержкой SWAN пользователю предложат разрешить показ рекламы. Рекламу могут показывать только участники сети. Предпочтения передаются в онлайн-реестр SWAN и затем используются для персонализации рекламы, если она разрешена. Идентификатор можно сбросить в любой момент, а настройки изменить — это приведет к изменению рекламы на всех сайтах сети.

Разработчики обещают улучшенный пользовательский опыт, децентрализацию и прозрачность доставки рекламного контента как для издателей, так для маркетологов и пользователей.

Технология зависит от следующих инструментов: файлы cookie, временное перенаправление HTTP и URL-адрес HTTP. Выглядит это все как цепочка редиректов, а с «Трекером перенаправления» основные браузеры борются.

Иллюстрация: Анастасия Сорокоумова

Спасет ли меня VPN от слежки?

Немало людей считают, что есть довольно простой способ спастись от незаметной слежки — и называется он VPN. К сожалению, такое предположение далеко от правды.

Технология Виртуальных частных сетей, а именно так расшифровывается аббревиатура VPN, поможет скрыть ваш трафик от провайдера и других лиц, через оборудование которых проходят пакеты с данными. Она позволяет «сменить» географию запросов, не меняя браузер. Однако для всех отслеживающих куки, которые сервисы уже прицепили к вашему браузеру, вы останетесь той же самой личностью. Даже если использовать «режим инкогнито», вас можно идентифицировать по цифровому отпечатку браузера (browser fingerprinting).

Отпечаток браузера

У каждого браузера есть свой отпечаток, который состоит из следующих характеристик:

  • Строка User-agent с указанием версий браузера и ОС, а также типа устройства, языковых настроек и т.п.;
  • Часовой пояс;
  • Разрешение экрана с глубиной цвета;
  • Супер-cookies;
  • Настройки cookie;
  • Системные шрифты;
  • Плагины к браузеру и их версии;
  • Журнал посещений.

Точность идентификации пользователя по отпечатку равна примерно 99,24%.

И что мне с этим делать?

Сейчас нам остается только ждать и наблюдать за тем, как развивается ситуация. Если переживаете из-за трекинга ваших данных, попробуйте использовать Firefox или Safari. Они сделают ваши поиски в сети более комфортными и конфиденциальными: по умолчанию эти браузеры блокируют межсайтовые куки, которые используются для отслеживания предпочтений. В целом же, пугаться куки не стоит, так как именно на них держатся некоторые технические моменты в работе сайтов (например, авторизация пользователей). Однако важно понимать, как эта система работает и какими могут быть последствия нажатия кнопки «принять все куки». При этом, куки — только один из механизмов отслеживания пользователей. «Шпионить» за посетителями сайта также умеют трекеры — например, Google.Analytics или Яндекс.Метрика. А благодаря отпечатку браузера, пользователя можно идентифицировать с большой долей вероятности.

редакция сверхновой

сверхновая — это медиа о личном и коллективном будущем. Мы пишем об интернете, цифровых правах и цензуре, о новых технологиях и об образах будущего, о личном целеполагании и о коллективном действии.

web/tg

facebook

twitter

поделиться статьей:

facebook

twitter

telegram

читайте также:

Забота о себе в цифровом мире во времена политической скованности: Создаем и используем архивы

Как надежно сохранить то, что вы не готовы удалять? Цифровой и аналоговый способы

Аня Щетвина

Забота о себе в цифровом мире во времена политической скованности: Удаляем ненужное

Гайд по удалению информации о вас из сети ради цифровой безопасности. Публикуем с тяжелым сердцем

Аня Щетвина

Верховный Совет Киберпространства

Хиджаб-рекогнишен, госVPN с цензурой и слежкой, отечественные технологии. Как в Иране регулируют интернет

редакция сверхновой