ETP、ITP、NO-TP,是時候把第三方Cookie講清楚了

Photo of author
Written By CMO

最近有兩個事件和第三方Cookie相關。其一是Firefox火狐瀏覽器的69版本已經默認在ETP(Enhanced Tracking Protection)開啟阻止第三方跟踪Cookie,之前只是新安裝的場景會默認啟用。其二是Google稱阻止Cookie會對用戶利益產生負面影響,因為各方會因此採用更激進更具破壞性的瀏覽器指紋技術對用戶的隱私產生危害。

第三方Cookie
第三方Cookie

HubSpot One在近一年來持續關注蘋果瀏覽器Safari ITP(Intellectual Tracking Prevention)和互聯網隱私收緊對廣告行業的影響。對於我們多次提到的Cookie和第一方/第三方Cookie,有必要再深入淺出地介紹一下。

什麼是Cookie?什麼又是第三方Cookie?

Cookie是瀏覽器存儲小量訊息到本地的一種方式之一。其他的還有本地存儲(Local Storage)。在瀏覽器地址欄網址旁的小鎖點擊後選擇Cookies便可看到下面的訊息。

除了Cookie之外,瀏覽器還有其他存儲方式

Cookie保存了許多有用的訊息,比如登陸狀態。因此許多爬蟲因為需要爬取登陸後的訊息需要使用Cookie池。 Cookie還可以保存一些方便用戶瀏覽的數據,比如一些表單的選項。當你禁用Cookie後,許多網站提供的內容將有可能不可用,特別是還會遇到登陸障礙。

第一方Cookie和第三方Cookie在存儲形態上是一致的。所謂第一方Cookie便是你所正在瀏覽的域所建立的Cookie。如果你正在訪問HubSpot One的官網hubspot.one,那麼你的瀏覽器將會生成一些hubspot.one域的Cookie保存起來。這就是第一方Cookie。於此同時HubSpot One的網頁亦會生成一些Google的和騰訊的Cookie保存在你的瀏覽器中。因為這些相對於HubSpot One(第一方)和瀏覽者(第二方)為第三方,因此稱為第三方Cookie。

Cookie和本地存儲有什麼區別?

Cookie和本地存儲都是瀏覽器存儲訊息的方式。它們的區別如下:

  • 前者被大多數瀏覽器所支持,而後者在一些古老的瀏覽器上不可用。
  • 前者存儲訊息最多就是4KB,而後者可至5MB。
  • 前者會通過HTTP請求自動發送給請求的服務器,後者必須通過本地操作主動處理後發送給服務器。

因此我們知道本地存儲並不能代替Cookie。

第三方Cookie有什麼用?

第三方Cookie用來幫助第三方來標記你這個用戶。

舉個例子,我們假設你是某影片網站的VIP,並具有免廣告權益。那麼如果HubSpot One將一個該影片網站的嵌入hubspot.one之後,該影片控件則需要判斷你是否為VIP才能對你提供免廣告的服務。此時如果網頁中有第三方Cookie則可以識別。由於hubspot.one的JavaScript無法讀取第三方影片網站的Cookie,識別的方式將通過HTTP請求中的Cookie在請求影片網站資源時同時把此時作為第三方Cookie的用戶標識訊息傳給影片網站

再舉個例子,我們假設某個廣告平台A需要把廣告投放給喜歡旅遊並喜歡HubSpot One的群體。那麼假設它和旅遊網站B與HubSpot One合作並把它的跟踪代碼加入到這兩個網站的頁面中。當用戶訪問這個廣告平台的眾多網站之一時,跟踪代碼會生成一個唯一的標識符並以第三方Cookie的形式存儲到瀏覽器。當用戶來到旅遊網站B時,跟踪代碼會讀取廣告平台的一個1×1的gif,並通過請求時HTTP頭部的Cookie字段或者gif後的參數把唯一的標識符傳遞回廣告平台A,同樣當訪問HubSpot One後廣告平台一樣也會知道用戶的訪問事件。那麼當用戶訪問網站C時,針對C頁面上的廣告位,C會先通知A該用戶的唯一標識符,A判斷用戶的訪問歷史後確認訪問過B和HubSpot One,則會對該用戶進行精準廣告投放。

我們可以看到第三方Cookie唯一要做的只是記錄一個唯一標識符,其他工作都可以交給廣告平台完成,這樣就完成了跨域名跟踪。因此第三方Cookie被廣泛用在單點登陸中。比如你在某寶登陸後就無需在某貓再登陸一次​。

第三方Cookie是如何生成的?

和第一方Cookie一樣,第三方Cookie有兩種方式進行部署。

首先是使用JavaScript的document.cookie進行Cookie寫入。這種方法既可以對用戶正在訪問的域進行寫入又可以對第三方域寫入。另外你也可以使用iframe在頁中頁中進行寫入。

還有一種是使用服務器端返回的HTTP Response中的Set-Cookie字段進行設置。這種方式僅需要頁面發起一個第三方資源請求即可,比如調用服務器端的一個圖片。一般的做法還會通過JavaScript把訊息附在圖片資源後作為參數進行請求作為refer字段的補充。由於第一方的JavaScript無法獲取第三方的Cookie內容(只能寫不能讀),Google Analytics會把訊息轉而存儲在第一方Cookie中。

那麼有第一方Cookie可用為什麼還要存為第三方呢?

為了網站的安全性。當然,Cookie本身就不怎麼安全。 XSS和CSRF攻擊,了解一下?

如果是GA把Cookie寫到了你的第一方Cookie中並能夠讀回來,你或許還能覺得放心。但若是一些野雞第三方廣告平台的話你就要有很大疑問了。因為如果網站開放讓這些平台讀寫第一方數據,那麼這些第三方平台就可以獲取到用戶訪問時的第一方Cookie 。也就是說這些野雞平台可以通過獲取用戶登陸狀態竊取你的用戶的訊息。

所以大多數情況下,這些跟踪代碼只通過第三方Cookie的方法部署。

可不可怕?更可怕的是即便是使用第三方Cookie你仍然無法保證訊息不被洩露。因為第三方請求中的Referer依然可以將你此時所在的頁面URL發給第三方服務器,這些URL裡面會包含你的用戶名和其他訊息,就好像你每天在用的UTM標籤一樣。

各瀏覽器對第三方Cookie的態度

從不知什麼時候開始,瀏覽器中就可以通過設置來屏蔽第三方Cookie。只不過由於默認並不開啟,影響不大。自GDPR公佈以來,隨著ITP的發布,各大瀏覽器對第三方Cookie的態度越來越苛刻了。

Safari

Safari中所有用於跟踪的第三方Cookie都會被智能識別並屏蔽。對於其他Cookie,包括第一方和第三方,只要是document.cookie寫的,生存期降為7天(ITP2.1);滿足特定條件時,生存期減少至24小時(ITP2.2)。 Set-Cookie方法最多為兩年,僅限第一方Cookie。讀取第三方Cookie需要用Storage Access API來進行(ITP2.0)。

你可能又要說了那我就用Set-Cookie好了,沒錯如果你的第三方Cookie沒有被判別為具有跟踪能力的Cookie那麼可以繼續使用Set-Cookie字段。但是這種方式難保不被濫用並在不久之後受到限制。我們看到ITP的各版本不斷加強,連第一方Cookie也受到了影響。

FireFox

記住這個小盾牌,Firefox屏蔽跟踪Cookie
記住這個小盾牌,Firefox屏蔽跟踪Cookie

我們開篇說了火狐瀏覽器現在默認屏蔽第三方跟踪Cookie。你在隱私設置裡可以看到Third-party tracking cookies由原來的Strict移到了Standard。

屏蔽第三方跟踪Cookie已是默認設定
屏蔽第三方跟踪Cookie已是默認設定

如果你不確定你用於第三方Cookie的域名是否被歸類為具有跟踪能力,你可以查詢FireFox的合作方Disconnect.Me。

Edge

此處我們說的是微軟最新的使用Chromium內核的Edge瀏覽器。在默認情況下阻止跟踪被開啟。

Edge會默認打開防跟踪選項
Edge會默認打開防跟踪選項

在Edge的默認防跟踪選項Balanced中,我們發現它僅僅會阻止“某些”第三方跟踪,並且明確指出這會讓你看到較少的相關的廣告。換言之,你看到的廣告並不會減少,但是相關性會較低。那麼哪些行業會給一些無法獲得肖像陌生人投廣告呢?你可以用腳趾頭想一想。

Chrome

所有這些防跟踪的手段最終影響最大的是廣告收入占主要收入的互聯網公司。我們再用腳趾頭想一想,如果說Edge對防跟踪的表現比較溫和,是因為廣告收入還不是佔微軟的總收入太多,那麼對Google來說會是怎麼樣呢?

Google當然是“不支持”或者“陽奉陰違”的。為什麼Google會去做Chrome這個產品?為什麼Google會收購下Android這個移動操作系統?其終極目的都是廣告收入。不管是Chrome還是Android,其默認的搜索引擎都是Google。現今,不管是Chrome還是Android都有著超過50%的全球市場份額。因此,Chrome和Android是作為護城河的存在,對Google的整個生態是至關重要的。

想動Google的蛋糕?首先在Chrome中你要去Settings,然後要展開Advanced,點擊Privacy and Security,找到Site Settings,你這才能看到Cookies。點擊Cookies你可以看到下面的景象。

Chrome默認允許第三方Cookie
Chrome默認允許第三方Cookie

無需多言,默認允許所有Cookie,而且只能選擇禁用/啟用所有第三方Cookie。

至此我們可以看到各廠對第三方Cookie的態度。也難怪Google被人指責用荒謬的言論來保護自己的既得利益。隱私專家Jonathan Mayer和Arvind Narayanan說:“為了理解這種說法的荒謬性,想像一下當地警察說,’我們看到我們的城鎮有一個扒竊問題。但如果我們嚴厲打擊扒竊行為,扒手就會轉向搶劫。那會更糟。當然你不想要那個,對嗎?’“

這些對數字行銷者們意味著什麼?

筆者作為一位業內人士自然是希望廣告的target能夠越來越精準,(除Chrome外的)各大瀏覽器的正在朝著保護用戶隱私的角度發展這無疑是對廣告定位不利的。

但是我們既作為數字行銷者,同時又是普通的用戶,從同理心出發,我們也應該理解普通用戶所懷有的顧慮和擔憂。

Ad-Tech行業需要能夠及時找出新的解決方案讓用戶的隱私得到保障並讓廣告投放效果得到提升。諸如HubSpot One前些時候介紹的零方數據(Zero-party Data)的概念將會得到更好的利用。

先說到這裡。感謝關注HubSpot One。