Destaques de privacidade e segurança: como o rastreamento e os cookies mudaram em 2019 (e o que isso significa para seus testes em 2020)

2018 caiu como o ano em que a privacidade mudou para sempre.

O GDPR deixou sua marca… em memes que nos fizeram rir e pedidos abrangentes de coleta, processamento e transparência de dados que nos deixaram (um pouco) sobrecarregados.

Mas ninguém esperava que 2019 fosse um grande sucesso. No entanto, foi. Os navegadores contribuíram para que os usuários se sentissem mais seguros e confiassem que seus detalhes e preferências pessoais NÃO estavam sendo usados ​​para lançar anúncios implacavelmente pela Internet.

Aqui está um detalhamento das mudanças antirastreamento e prevenção de rastreamento que aconteceram em 2019, o que isso significa para profissionais de marketing e testadores e como a Convert lidou com elas .

Como a prevenção de rastreamento e os testes A/B mudaram em 2019?

Política anti-rastreamento da Mozilla

Introduzido por : Mozilla (Firefox)

Quando : janeiro de 2019

Resumo : O Mozilla Firefox publicou uma política antirastreamento em janeiro de 2019 que definiu quais técnicas de rastreamento o Firefox bloqueará por padrão no futuro. Delineados na política são os seguintes tipos:

• Rastreamento entre sites baseado em cookies — Cookies e outros tipos de armazenamento podem ser usados ​​por terceiros para rastrear usuários na Internet.

• Rastreamento entre sites baseado em parâmetros de URL — Outra prática de rastreamento entre sites que se baseia em URLs em vez de cookies para transmitir identificadores de usuário.

• Impressão digital do navegador — Os sites podem usar dados fornecidos pelo navegador durante as conexões ou usando certas técnicas da Web para criar impressões digitais do usuário.
• Supercookies — Também conhecidos como Evercookies. Refere-se ao armazenamento usado para rastreamento que não é limpo automaticamente quando um usuário limpa o histórico de navegação e os dados. Veja esta lista de caches que o Firefox usa.

Impacto na conversão : Depois de ler em detalhes, o rastreamento de conversão não é afetado por esta Política, pois seu rastreamento não se enquadra nas categorias acima.

Prevenção de Rastreamento Inteligente (ITP) 2.1

Introduzido por : Apple (Safari)

Quando : fevereiro de 2019

Resumo : a Apple anunciou o ITP 2.1 em fevereiro de 2019; esta foi a atualização do ITP que foi principalmente depois de cookies primários que são definidos usando JavaScript.

A Apple limitou oficialmente os cookies do lado do cliente (baseados em JavaScript) a 7 dias. As primeiras versões do ITP (1.x) limitavam a duração dos cookies de terceiros.

O ITP 2.1 interrompeu os principais esforços dos profissionais de marketing para rastrear, analisar, medir, segmentar e personalizar os usuários do Safari.

Vamos descompactar isso:

• A análise da Web perdeu a precisão porque um visitante do site foi esquecido após sete dias, inflando assim o número de visitantes únicos que um profissional de marketing vê no site. Essa inflação pode afetar a forma como os profissionais de marketing desenvolvem conteúdo e promoções.

• Os testes A/B sofreram porque os profissionais de marketing tiveram oportunidades limitadas de obter insights. Os testes A/B têm apenas uma janela de sete dias para testar o conteúdo e acompanhar os resultados. Os clientes que visitam sites menos de uma vez por semana são considerados novos visitantes e podem ser agrupados em um grupo de teste diferente, resultando em dados de resultados imprecisos.

• As plataformas de gerenciamento de dados (DMPs) viram um número inflado de dispositivos móveis porque as purgas de cookies episódicas criam novos identificadores para dispositivos móveis que não são novos. Isso exagera o tamanho do público e pode afetar a forma como os públicos são criados. Os profissionais de marketing correm o risco de criar segmentos de público com base em dados desatualizados ou incompletos.

• A personalização também sofreu. Sites não autenticados que utilizam ferramentas de personalização com base em comportamentos e preferências anteriores para criar experiências consistentes do cliente não possuem dados históricos para personalizar o conteúdo. Por causa disso, os clientes têm experiências na web inconsistentes.

• A atribuição é mais difícil de executar. Com uma janela de lookback reduzida, os profissionais de marketing não podem atribuir conversões que ocorrem mais de sete dias após a última visita ao site do usuário. Os profissionais de marketing atribuem erroneamente o crédito às campanhas e creditam demais o último toque de marketing, arriscando gastar demais em canais ineficazes.

Impacto na conversão : você pode entender como o acima pode distorcer os resultados de seus experimentos de conversão, especialmente se você tiver uma grande participação de público usando o navegador Safari. Portanto, consideramos algumas maneiras de resolver o ITP 2.1 e finalmente decidimos mover o processo de criação de cookies do navegador para o servidor.

Como as novas restrições de duração de cookies se aplicam apenas a cookies criados no navegador, movemos a parte de emissão de cookies para seu servidor web, o que significa que seu servidor criará os cookies e não os navegadores dos usuários.

Você pode encontrar as etapas para facilitar a criação de cookies do lado do servidor aqui. Se precisar de ajuda para alterar a infraestrutura do seu servidor web, não hesite em contactar-nos.

Usando ferramentas de teste A/B que estão impactando negativamente seus resultados devido a problemas de rastreamento? Experimente uma avaliação gratuita de 15 dias do Convert Experiences e confira os recursos que nos tornam uma das ferramentas mais sensíveis à privacidade do mercado.

Prevenção de Rastreamento Inteligente (ITP) 2.2

Introduzido por : Apple (Safari)

Quando : abril de 2019

Resumo : Em abril de 2019, a Apple continuou a fechar brechas no recurso antirastreamento do Safari, a Prevenção de Rastreamento Inteligente. A maior mudança do ITP 2.2 de 2.1 e 2.0 limitou a duração de alguns cookies primários definidos por JavaScript a um dia – abaixo dos sete dias que o ITP 2.1 implementou.

Para que um cookie seja limitado em um dia pelo ITP 2.2, ele deve atender a três condições:

1. O cookie é definido via JavaScript (ou em suas palavras, “definido através de document.cookie”). Esta condição também foi aplicada com ITP 2.1.
2. O site que enviou o usuário para a página de destino foi classificado pelo ITP como “com recursos de rastreamento entre sites” (as principais redes de anúncios, Google e Facebook certamente são classificadas dessa maneira)
3. O link usa decoração de link (ele usa parâmetros de string de consulta e/ou um identificador de fragmento)

Impacto no Convert : Os três fatores acima combinados significam que os cookies definidos pelo Convert são afetados pelo ITP 2.2, SE (i) seu site onde o código de rastreamento do Convert está instalado recebe tráfego de domínios que são considerados com recursos de rastreamento entre sites E (ii) ) você usa a decoração do link para fins de atribuição.

Felizmente, das condições acima, apenas a primeira teve impacto nos cookies Convert, pois estes são criados via document.cookie do Javascript. Sugerimos que nossos clientes transferissem o processo de criação de cookies do navegador para o servidor, como fizemos com a solução alternativa ITP 2.1.

Cookies do mesmo site

Introduzido por : Google (versão 76 do Chrome)

Quando : maio de 2019

Resumo : o Google aproveitou o recurso de cookie HTTP “SameSite” para permitir que os desenvolvedores se comuniquem se quiserem permitir que seus cookies sejam lidos em um contexto de terceiros.

Efetivamente, os desenvolvedores podem dizer “este cookie é privado” e tornar o cookie mais seguro no momento da criação do cookie. A atualização no Chrome 76 definiu um valor SameSite padrão mesmo quando um desenvolvedor da Web não definiu um explicitamente. Isso significa que a maioria dos cookies do lado do servidor eram automaticamente mais seguros por padrão.

A versão estável do Chrome 80 em fevereiro de 2020 é direcionada para ativar esse recurso por padrão, conforme resumido abaixo:

• Cookies sem um atributo SameSite serão tratados como SameSite=Lax.
• Cookies com SameSite=None também devem especificar Secure.

Impacto no Convert : Até agora, o recurso SameSite parece afetar apenas a transmissão do cookie para o back-end, o que não é importante, pois o Convert não faz isso.

Ele só tem impacto se os clientes usarem a leitura de back-end dos cookies Convert para fins diferentes. Para não confiar no padrão, definimos nossos cookies Convert com os sinalizadores SameSite=Lax e Secure.

Prevenção de rastreamento

Introduzido por : Microsoft Windows (Edge)

Quando : junho de 2019

Resumo : a Microsoft introduziu um novo recurso em junho de 2019 para bloquear scripts de rastreamento em seu navegador Edge baseado em Chromium. A empresa chamou esse recurso de “Prevenção de rastreamento” e estava disponível inicialmente apenas nas compilações de visualização do Edge Insiders (começando com 77.0.203.0). A empresa disse que o recurso estava em desenvolvimento e que lançou a versão inicial para feedback e desenvolvimento acelerado.

Basicamente, o que a Microsoft fez foi habilitar novas categorias de proteção de rastreamento (Basic, Balanced, Strict) no Edge para bloquear mais rastreadores. Para evitar problemas de compatibilidade, a Microsoft desenvolveu um sistema que relaxou a prevenção de rastreamento com base nas pontuações de engajamento no modo balanceado.

Esse recurso é semelhante ao Enhanced Tracking Protection no Mozilla Firefox e ao Intelligent Tracking Protection no Apple Safari e bloqueia qualquer carregamento de scripts de rastreamento de um domínio que não seja acessado diretamente pelo usuário.

Impacto na conversão : o rastreador de conversão pode estar listado na lista de proteção de confiança, e dizemos que pode porque é um componente oculto que o Edge não revelou totalmente. De qualquer forma, a Prevenção de Rastreamento do Microsoft Edge bloqueará o rastreador de conversão SOMENTE quando um visitante definir a Prevenção de Rastreamento para o modo Estrito (e não para o modo Equilibrado , que é o padrão). Portanto, na navegação normal, as experiências do Convert NÃO são afetadas pelas novas configurações que o Edge irá impor.

Proteção de rastreamento aprimorada

Introduzido por : Mozilla (Firefox)

Quando : junho de 2019

Resumo : Os novos usuários que instalaram o Firefox pela primeira vez após 5 de junho de 2019 tiveram a Proteção aprimorada contra rastreamento (ETP) ativada por padrão. O ETP é definido automaticamente por padrão como parte da configuração 'Padrão' no navegador e bloqueia (i) "cookies de rastreamento de terceiros" conhecidos e (ii) rastreadores conhecidos em todas as janelas do navegador Privado/Incógnito de acordo com a lista Desconectar que A Mozilla fez parceria com.

Impacto na conversão: o rastreador de conversão é listado na lista Desconectar. No entanto, o Firefox Enhanced Tracking Protection bloqueará o Convert rastreador SOMENTE quando um visitante estiver usando uma janela Privada/Anônima. Além disso, no Convert, em nossos esforços para estar em conformidade com o GDPR, os cookies de terceiros foram desativados em 21 de fevereiro de 2018. Portanto, na navegação normal As experiências do Convert NÃO são afetadas pelas novas configurações que o Firefox impôs.

Política de prevenção de rastreamento do WebKit

Introduzido por : Apple (Safari)

Quando : agosto de 2019

Resumo : A equipe WebKit da Apple lançou sua “Política de prevenção de rastreamento” completa em agosto de 2019.

Esta política delineou os esforços de rastreamento do WebKit e detalha quais tipos de rastreamento o WebKit previne, contramedidas e muito mais. Ele impede várias técnicas de rastreamento, incluindo rastreamento entre sites, rastreamento com estado, rastreamento com estado oculto, rastreamento de navegação, impressão digital, rastreamento oculto e outras técnicas desconhecidas que não se enquadram nessas categorias.

Impacto na conversão : o rastreamento de conversões não é afetado por esta Política, pois seu rastreamento não se enquadra nas categorias acima.

Prevenção de Rastreamento Inteligente (ITP) 2.3

Introduzido por : Apple (Safari)

Quando : setembro de 2019

Resumo : Anteriormente, o ITP 2.2 reduzia a vida útil dos cookies persistentes do lado do cliente de sete dias para 24 horas (se as três condições listadas abaixo fossem atendidas) e restringia o rastreamento entre sites por meio da decoração do link:

1. O cookie é definido via JavaScript (ou em suas palavras, “definido através de document.cookie”). Esta condição também foi aplicada com ITP 2.1.
2. O site que enviou o usuário para a página de destino foi classificado pelo ITP como “com recursos de rastreamento entre sites” (as principais redes de anúncios, Google e Facebook certamente são classificadas dessa maneira)
3. O link usa decoração de link (ele usa parâmetros de string de consulta e/ou um identificador de fragmento)

Mas os engenheiros do WebKit notaram que alguns rastreadores responderam movendo seus cookies primários para outras formas de armazenamento de dados de sites primários para rastrear usuários. Eles adicionaram código ao próprio URL de referência para ler o ID de rastreamento na página de destino.

De acordo com o ITP 2.3, os sites que fizerem isso verão todos os dados de sites que não são cookies excluídos após sete dias. Combinado com a expiração limitada dos cookies do lado do cliente, isso significa que os rastreadores não poderão usar a decoração de links combinada com o armazenamento de dados de sites primários de longo prazo para rastrear usuários.

O ITP 2.3, portanto, refere-se à decoração do link.

Impacto na conversão : Conforme explicado aqui, fica claro que o rastreamento de conversão e os cookies NÃO são afetados pelas novas duas etapas do ITP 2.3 que a equipe do WebKit adotou para combater os rastreadores acima.

API IsLoggedIn

Introduzido por : Apple (Safari)

Quando : setembro de 2019

Resumo : Na Reunião do Comitê Consultivo e Plenário Técnico do W3C (TPAC) 2019, o WebKit anunciou que está nos estágios iniciais de teste de uma API que daria aos operadores de navegadores a capacidade de ver se os usuários estão logados ou não em um site.

Isso permaneceu apenas um tópico de discussão na agenda do TPAC e nenhuma implementação adicional foi realizada.

Impacto na conversão : parece que os cookies que permitem o rastreamento cruzado, como os cookies definidos ao serem redirecionados de um URL classificado como rastreador com base em alguns parâmetros de string de consulta, são os que estão sendo afetados. O Convert não faz esse rastreamento e, portanto, não há impacto disso.

Melhorias no ITP

Introduzido por : Apple (Safari)

Quando : dezembro de 2019

Resumo : esta atualização para o Safari chegou com o iOS 13.3, iPadOS 13.3 e Safari 13.0.3 no macOS Catalina, Mojave e High Sierra.

Recursos como prevenção de rastreamento e bloqueio de conteúdo podem ser usados ​​para fins de rastreamento. Mas três novos aprimoramentos dificultam ou impossibilitam a detecção de qual conteúdo da Web e dados de sites podem ser rastreados.

1. Referenciador somente de origem para todas as solicitações de terceiros: como exemplo, uma solicitação para https://images.example que conteria anteriormente o cabeçalho do referenciador https://store.example/baby/strollers/deluxe-stroller-navy- blue.html agora será reduzido para apenas https://store.example/.
2. Todos os cookies de terceiros bloqueados sem interação prévia do usuário
3. A API de acesso ao armazenamento leva em consideração a política de cookies subjacente

Impacto na conversão : a conversão não é afetada por esses aprimoramentos que aumentam a prevenção de rastreamento no Safari WebKit.

RESUMO

São muitos detalhes técnicos. Você não precisa ser um especialista em todas as atualizações do ITP. Mas dado o estado de fluxo, sentimos que uma coisa está clara.

Os navegadores continuarão a ajustar as coisas e até que ocorra um alinhamento, a configuração da ferramenta de teste e o tempo de instalação aumentarão, dada a complexidade dos casos de uso que você está abordando.

Se tivéssemos um conselho a dar, seria fazer parceria com fornecedores orientados à privacidade, como a Convert, e não coletar nenhum dado que seu advogado não esteja disposto a argumentar em seu nome em um tribunal!