Стремятся ли браузеры к будущему без файлов cookie?

Недавние законы, такие как Европейский GDPR, Директива об электронной конфиденциальности, Калифорнийский закон CCPA и предстоящие Правила электронной конфиденциальности, подтолкнули браузеры присоединиться к делу защиты конфиденциальности пользователей .

С Safari ITP и Firefox ETP, ведущими усилия, и недавно присоединившимся Google, интернет-гиганты усердно работают над созданием единой правовой базы.

Для компаний, использующих инструменты A/B-тестирования и персонализацию, которые хотят увеличить время, в течение которого они показывают персонализацию или вариант одному и тому же человеку, например, более 7 дней, лучшим решением является переход на DNS через HTTP(s), также называемый настройка CNAME для установки основных файлов cookie.

Это спорный ход. Читайте дальше (или смотрите видео ниже), чтобы узнать, почему мы рекомендуем его и как вы можете использовать его (или нет) правильно.

Что браузеры, Европа и CCPA хотят для пользователей?

В Европе установка файлов cookie (даже для целей аналитики, A/B-тестирования или персонализации) без согласия является сомнительной практикой, поскольку некоторые из них содержат личные данные, и это БОЛЬШАЯ проблема.

Такие браузеры, как Safari и Firefox (и, в меньшей степени, Chrome), также хотят защитить своих пользователей от этих типов файлов cookie, которые используются для создания профилей пользователей и покупательских интересов. Затем эта информация будет продаваться и использоваться для целевых пользователей на других сайтах. Продавец рекламы получит более высокую прибыль от размещения рекламы с подтвержденным намерением, чем от простого показа рекламы. Лидеры рекламной индустрии понимают, что путь вперед заключается в меньшем отслеживании и большем количестве мест размещения объявлений, которые соответствуют намерениям пользователя на странице (с помощью сопоставления объявлений в контенте).

Этот сдвиг значительно меняет индустрию онлайн-рекламы. Теперь у нас есть компании, которые обращаются с такими просьбами, как: «Измените свой DNS на CNAME в этой двухминутной работе, и мы продолжим работу в обычном режиме».

Эта практика представила термин CNAME Cloaking и BAM, мы вступаем в темную сторону полезной функции CNAME. Рекламные сети могут прятаться за субдоменом компании и продолжать собирать личную информацию и создавать профили для увеличения дохода от рекламы.

Это именно то, что браузеры и европейские законы пытаются предотвратить .

Давайте поговорим об идее, стоящей за этими законами, и технологиях браузеров, которые внедряются. Они предназначены для обеспечения прозрачности для посетителей веб-сайта и их явного согласия на запросы. Они также предназначены для предотвращения скрытого сбора данных и создания персонализированных профилей без ведома пользователей.

Сеть постепенно становится жутким местом, где несколько крупных игроков знают о вас больше, чем о вашем спутнике жизни.

Перестань! Вам нужно перестать предоставлять рекламным сетям такой широкий доступ к данным ваших пользователей. Период!

Взлом технологий или перманентная битва?

Вы можете рассматривать это как технологическую игру в кошки-мышки, в которой вы можете выиграть, но все, что вы делаете, это откладываете неизбежное.

Поступая таким образом, вы ограничиваете другие маркетинговые усилия, которые по-прежнему считаются безопасными.

Браузеры или законы о конфиденциальности не хотят, чтобы вы потеряли свою конверсию как маркетолог после того, как вам показали рекламу (даже если это будет через месяц). Они не возражают против того, чтобы вы использовали универсальный логин для нескольких сайтов или использовали анонимную аналитику на своем сайте для измерения воздействия. Однако они возражают против того, что вы (или ваш провайдер, Google или Facebook) повсеместно внедряете скрипты отслеживания, чтобы одновременно создавать профили пользователей. Пользователи хотели войти в систему, а не делиться тем, что они вошли в систему через Facebook, и теперь они будут вынуждены добавить +1 к какой-либо категории объявлений, которая их интересует. Если вы это сделаете, вас отрежут, но новые инициативы помогут вам собрать эту конверсию (читайте дальше…)

Webkit, организация, стоящая за ITP в Safari, объясняет это в своей Политике предотвращения отслеживания:

Непреднамеренное воздействие ITP

В Интернете существуют методы, которые мы не собираемся нарушать, но которые могут быть непреднамеренно затронуты, поскольку они основаны на методах, которые также можно использовать для отслеживания. Мы считаем это непреднамеренным воздействием. Эти практики включают в себя:

Финансирование веб-сайтов с помощью целевой или персонализированной рекламы (см. раздел «Измерение частных кликов» ниже).

• Измерение эффективности рекламы.

• Федеративный вход с использованием стороннего поставщика входа.

• Единый вход на несколько веб-сайтов, контролируемых одной и той же организацией.

• Встроенные носители, использующие личность пользователя для соблюдения его предпочтений.

• Кнопки «Нравится», объединенные комментарии или другие социальные виджеты.

• Предотвращение мошенничества.

• Обнаружение ботов.

• Повышение безопасности аутентификации клиентов.

• Аналитика в рамках одного сайта.

• Измерение аудитории.

Когда мы сталкиваемся с компромиссом, мы, как правило, отдаем предпочтение преимуществам для пользователей, а не сохранению текущих практик веб-сайта. Мы считаем, что это роль веб-браузера, также известного как пользовательский агент.

Однако мы постараемся ограничить непреднамеренное воздействие. Мы можем изменить методы предотвращения отслеживания, чтобы разрешить определенные варианты использования, особенно когда более строгие меры могут нанести вред пользовательскому опыту. В других случаях мы разработаем и внедрим новые веб-технологии, чтобы повторно использовать эти методы без повторного внедрения возможностей отслеживания. К ним относятся Storage Access API и Private Click Measurement .

Я уверен, что другие браузеры разделяют эту идею.

Хотя их технология и скорость реализации могут отражать их политику и видение, все они работают над повышением прозрачности и согласия пользователей на то или иное действие. Полезным инструментом для отслеживания всех их действий является Cookie Status от Simo Ahava.

CNAME как временное решение

Когда вы используете такие сервисы, как CookieSaver и TraceDock, которые делают вид, что возвращают вам «обычный бизнес», и фокусируются на том, что вы « думаете, что упускаете », вы можете упустить логику, стоящую за новыми законами о конфиденциальности и изменениями в браузере. .

Но имейте в виду, что некоторые файлы cookie следует убрать с CNAME! Это новый мир, в котором люди выбирают, хотят ли они отказаться от всей своей конфиденциальности ради комфорта, подписаться и войти в систему. Вы не можете постоянно лишать людей конфиденциальности ради достижения своих бизнес-целей. Ты больше не можешь быть таким эгоистичным. Вы должны верить, что, делая правильные вещи, ваш бизнес будет расти. Доверяй и измеряй….

Такие браузеры, как Chrome и Safari, работают над инициативами, которые предоставят вам доступ к персонализированной пользовательской информации, одобренной пользователем. На их основе возможна некоторая персонализация (до них еще два года).

Chrome и Webkit (Safari) работают над технологиями, позволяющими вернуть конверсию рекламы с помощью API. Это означает, что вы сможете продолжать выполнять некоторую атрибуцию и даже отслеживать конверсии в течение 3–60 дней со дня показа.

Проблема в том, что законы о конфиденциальности применяются сейчас, а эти альтернативы пока недоступны.

Тот факт, что CNAME прямо сейчас может быть вариантом для расширения отслеживания рекламных сетей и создания личных профилей, не делает его жизнеспособным решением в долгосрочной перспективе.

Это намерение браузеров защитить пользователей от этого. Если вы продлите срок действия файлов cookie, которые позволяют создавать профили пользователей на вашем сайте и перенаправлять их в другое место, или, что еще хуже, создавать профили пользователей и продавать их… вот тогда браузеры и третьи стороны начнут создавать списки блокировки для таких сомнительных сетей.

Вам следует прекратить поддержку любой системы, которая создает личные профили за пределами вашего домена . Этого хотят пользователи, браузеры и законы о конфиденциальности. Это то, что укусит вас, если вы этого не сделаете. Будьте уверены, что кто-то разоблачит ваш бренд за это.

Эта практика также может добавить угрозу безопасности вашего веб-сайта.

Когда вы перемещаете средства отслеживания рекламы со сторонними файлами cookie в основные файлы cookie с помощью CNAME, это повышает риск того, что их скрипты могут считывать файлы cookie аутентификации и входа ваших пользователей.

Большинство статей о маскировке CNAME посвящено рекламным системам, создающим профили пользователей. Мы хотели бы дистанцироваться от этой практики.

Инструменты A/B-тестирования и персонализации годами используют собственные файлы cookie. Они уже смогли манипулировать всем сайтом и системами входа в систему как часть имеющейся у них системы. Для этих типов инструментов ничего не меняется при использовании CNAME, за исключением того, что опыт может быть согласованным в течение 30–60 дней вместо 7 дней.

Европейские правила электронной конфиденциальности следуют за браузерами

Европа работает над своими последними проектами правил электронной конфиденциальности, которые позволяют размещать файлы cookie для аналитики и оптимизации веб-сайта. Это посылает четкий сигнал о том, что отныне будут разрешены только основные файлы cookie, такие как хранение сеансов входа в систему или продуктов в корзинах покупок, а также аналитика и A/B-тестирование в интересах пользователя.

8 ноября 2019 года правительство Финляндии опубликовало пересмотренное предложение по Регламенту электронной конфиденциальности с некоторыми поправками.

Закон об игровых технологиях резюмирует это так:

Использование файлов cookie (и подобных файлов/тегов) требует общего согласия. Тем не менее, Регламент ePrivacy предусматривает многочисленные исключения, в том числе уже знакомые исключения (файлы cookie, необходимые для связи или по техническим причинам), а также новые исключения, такие как (некоторые формы) аналитика, безопасность (включая предотвращение мошенничества), обновления программного обеспечения и исполнение. задач сотрудников, а также дополнительные исключения, перечисленные выше.

Для целей A/B-тестирования вам, скорее всего, не требуется согласие, и вы можете без проблем размещать файлы cookie, как указано в последнем проекте Правил электронной конфиденциальности (ноябрь 2019 г.) в статье 21a :

Файлы cookie также могут быть законным и полезным инструментом, например, для оценки эффективности предоставляемых услуг информационного общества, например дизайна веб-сайта и рекламы, или помогая измерять количество конечных пользователей, посещающих веб-сайт, определенные страницы веб-сайт или количество конечных пользователей приложения. Однако это не относится к файлам cookie и аналогичным идентификаторам, используемым для определения характера использования сайта, что всегда требует согласия конечного пользователя.

Проект правил электронной конфиденциальности фокусируется на идее о том, что отслеживание и аналитика разрешены без согласия, если они не используются для создания профилей пользователей, как указано в статье 17AA:

Поскольку конечные пользователи придают большое значение конфиденциальности своих сообщений, в том числе своих физических перемещений, такие данные нельзя использовать для определения характера или характеристик конечного пользователя или для создания профиля конечного пользователя, чтобы, например, избегать использования данных в целях сегментации, для отслеживания поведения конкретного конечного пользователя или для получения выводов о частной жизни конечного пользователя. По той же причине конечному пользователю должна быть предоставлена ​​информация об этих действиях по обработке, и ему должно быть предоставлено право возражать против такой обработки.

Что будет в окончательном варианте?

Нам придется дождаться окончательной версии Регламента, а затем национальных законов, чтобы действительно начать более подробно обсуждать руководящие принципы. Но текущая директива ePrivacy дает хорошие надежды на A/B-тестирование. Пол Шмитт указал мне, что, несмотря на то, что ICO (британский орган по обеспечению конфиденциальности) и CNIL (французский орган по обеспечению конфиденциальности) регулируют использование файлов cookie для A/B-тестирования и аналитики, в последних рекомендациях CNIL (на французском языке) от Github говорится в противном случае. Вот перевод:

Воспользуйтесь освобождением от согласия, при соблюдении определенного количества условий файлы cookie, используемые для измерения аудитории, не подлежат согласию. Эти условия, как указано в руководстве по файлам cookie и другим средствам отслеживания, включают (1) информирование пользователей об их использовании; (2) дать им возможность противостоять этому; (3) ограничить систему только следующими целями: измерение аудитории и A/B-тестирование.

Подводя итог, и браузеры, и законы о конфиденциальности хотят одного и того же. Они здесь не для того, чтобы остановить ваши усилия по анализу пользователей (на вашем сайте) или проведению A/B-тестирования для улучшения и оптимизации взаимодействия с пользователем.

Никаких файлов cookie… Давайте использовать отпечатки пальцев

Отпечаток пальца означает создание уникального идентификатора путем объединения нескольких свойств, которые сами по себе не уникальны для вас, обхода ограничений браузера на файлы cookie и даже возможность отслеживать вас на разных устройствах (это то, что файлы cookie не могут сделать).

Некоторыми из этих свойств являются ваш IP-адрес, версия вашей операционной системы, версия вашего браузера, язык вашего компьютера, ваше время, размер вашего экрана, плотность пикселей вашего экрана, скорость вашего компьютера, и этот список можно продолжать и продолжать. на.

Вы можете вообще отказаться от использования файлов cookie для определенных методов. Однако это не означает, что вы можете отказаться от проблем прозрачности и конфиденциальности, скрывая то, что вы делаете с отдельными посетителями на стороне сервера или на границе CDN. Это одна из причин, по которой мы обеспечиваем абсолютную прозрачность процессов тестирования и персонализации, проводимых на нашем сайте.

Вы можете настроить A/B-тестирование на периферии без файлов cookie (на Fastly), но это непрозрачно и может быть неодобрительно. Браузеры ограничивают информацию, которую вы получаете, чтобы сделать хэшированный/уникальный опыт для кого-то.

Правила ePrivacy ясны — они не позволяют снимать отпечатки пальцев. Браузеры и органы по защите конфиденциальности будут бороться с вами даже сильнее из-за снятия отпечатков пальцев, чем из-за файлов cookie. Не ходи туда.

Больше прозрачности, а не меньше

Convert Experiences — это наш инструмент A/B-тестирования и персонализации. По умолчанию он не позволяет создавать профили пользователей с использованием личных данных.

Мы собираем данные в отчеты и отправляем предупреждения, когда сегменты становятся настолько маленькими, что позволяют идентифицировать пользователей, или когда мы подозреваем, что личные данные были добавлены в поля, где их быть не должно.

Наш инструмент часто используется брендами, которые заботятся о соблюдении всех законов о конфиденциальности по всему миру. Мы предлагаем варианты, в которых владельцы веб-сайтов могут поделиться ссылкой или клавишей быстрого доступа, чтобы быть прозрачным в отношении того, какие функции выполняются на веб-сайте и в каких средах находятся пользователи.

Мы призываем наших клиентов создавать возможности, которые улучшают взаимодействие с пользователем и оптимизируют поток.

Если вы хотите построить лучший мир, сделайте формы лучше и короче . Браузеры, пользователи и законы о конфиденциальности поддерживают вас в этом. Чего они не поддержат, так это A/B-тестирования, когда вы прокрались в апсейл, отмеченный по умолчанию. Улучшите свои свойства, и тогда не будет проблем с прозрачностью. A/B-тестирование приносит пользу пользователям и может быть полезно для бизнеса, потому что вы предлагаете лучший онлайн-опыт.

Поэтому, когда вы устанавливаете CNAME для своего инструмента A/B-тестирования, убедитесь, что ваш инструмент не создает профили пользователей. Не используйте для таргетинга такие идентификаторы, как пол, возраст, раса и религия (некоторые инструменты — не наши — предлагают это). Не ходите туда, оно того не стоит и никому больше не нужно.

Настройте CNAME для инструментов, которым вы доверяете. Не позволяйте им направлять информацию о ваших посетителях на сторонние сайты и места. Вы и только вы несете ответственность за то, что эти инструменты хранят и делают с данными. Вы можете посмотреть на каждый инструмент и множество фрагментов, которые они поднимают с помощью инструмента (вы можете использовать Collision — см. Изображение ниже). Настройте CNAME только для компании, с которой у вас есть подписанное DPA (соглашение об обработке данных) — наши здесь.

Что теперь?

В этом посте я изложил все, что знаю о CNAME — надеюсь, он был вам полезен и пролил свет на эту сложную тему.

Не стесняйтесь связаться со мной в LinkedIn или прочитать, как мы полностью сместили акцент на конфиденциальность в 2018 году.

Посмотрите, как мы работаем с Privacy Shield, SCC, CCPA и нашими общими усилиями в этой области.

Я надеюсь, что из этой статьи стало понятно, как вы можете использовать CNAME, чтобы увеличить время экспериментов по A/B-тестированию с 7 до 30 дней. Пожалуйста, не покупайте инструменты CNAME, которые продлевают срок службы рекламных файлов cookie, которые создают профили пользователей.

Воспользуйтесь бесплатной пробной версией нашего программного обеспечения для A/B-тестирования, если хотите увидеть, как работает инструмент, заботящийся о конфиденциальности. Мы (так же, как и Регламент ePrivacy) убеждены, что A/B-тестирование — это положительный метод, который может помочь проверить усилия компаний по обеспечению лучшего опыта для пользователей, а не по их эксплуатации.