隐私和安全亮点：2019 年跟踪和 Cookie 的变化（以及它对 2020 年测试的意义）

2018 年下降，因为这一年隐私永远改变了。

GDPR 留下了它的印记……在让我们发笑的模因以及让我们（有点）不知所措的全面数据收集、处理和透明度要求中。

但没有人预料到 2019 年会是一个大丰收。 然而，确实如此。 浏览器投入使用以使用户感到更安全，并相信他们的个人详细信息和偏好不会被用于在互联网上无情地投放广告。

以下是2019 年发生的反跟踪和跟踪预防变化的细目，这对营销人员和测试人员意味着什么，以及 Convert 是如何处理这些变化的。

2019 年跟踪预防和 A/B 测试有何变化？

Mozilla 的反跟踪政策

介绍者：Mozilla (Firefox)

时间：2019年1月

摘要：Mozilla Firefox 于 2019 年 1 月发布了一项反跟踪政策，该政策定义了 Firefox 未来将默认阻止哪些跟踪技术。 政策中概述了以下类型：

• 基于 Cookie 的跨站点跟踪 — 第三方可能使用 Cookie 和其他存储类型来跟踪 Internet 上的用户。

• 基于 URL 参数的跨站点跟踪 — 另一种跨站点跟踪实践，它依赖于 URL 而不是 cookie 来传递用户标识符。

• 浏览器指纹识别——网站可能会在连接期间使用浏览器提供的数据，或使用某些网络技术来创建用户指纹。
• Supercookies — 也称为 Evercookies。 指用于跟踪的存储，当用户清除浏览历史和数据时不会自动清除。 查看 Firefox 使用的缓存列表。

对转换的影响：详细阅读后，转换跟踪不受本政策影响，因为它的跟踪不属于上述类别。

智能跟踪预防 (ITP) 2.1

介绍者：苹果（Safari）

时间：2019年2月

摘要：苹果在2019年2月发布了ITP 2.1； 这是 ITP 更新，主要针对使用 JavaScript 设置的第一方 cookie。

Apple 正式将客户端（基于 JavaScript）cookie 限制为 7 天。 ITP (1.x) 的最早版本限制了第三方 cookie 的持续时间。

ITP 2.1 破坏了营销人员为 Safari 用户跟踪、分析、衡量、定位和个性化的核心工作。

让我们解开这个：

• 网站分析失去了准确性，因为网站访问者在 7 天后被遗忘，从而夸大了营销人员在网站上看到的唯一访问者数量。 这种通货膨胀可能会影响营销人员开发内容和促销的方式。

• 由于营销人员获得洞察力的机会有限，A/B 测试受到了影响。 A/B 测试只有 7 天的窗口来测试内容和跟踪结果。 访问网站少于每周的客户被视为新访问者，可能会被集中到不同的测试组中，从而导致结果数据不准确。

• 数据管理平台 (DMP) 的移动设备数量激增，因为周期性 cookie 清除会为并非新的移动设备创建新的标识符。 这会夸大受众规模，并可能影响受众的创建方式。 营销人员冒着根据过时或不完整的数据建立受众细分的风险。

• 个性化也受到影响。 未经身份验证的网站利用基于过去行为和偏好的个性化工具来创建一致的客户体验，但没有历史数据来个性化内容。 因此，客户的网络体验不一致。

• 归因更难执行。 借助缩短的回溯期，营销人员无法归因于用户最后一次访问网站后超过 7 天发生的转化。 营销人员错误地将功劳归于活动，并将最后一次营销接触的功劳归于过高，从而冒着在无效渠道上超支的风险。

对 Convert 的影响：您可以了解上述内容如何影响您的 Convert 实验结果，尤其是在您使用 Safari 浏览器拥有大量受众的情况下。 因此，我们考虑了很多解决 ITP 2.1 的方法，最终决定将 cookie 创建过程从浏览器移到服务器中。

由于新的 cookie 持续时间限制仅适用于浏览器创建的 cookie，我们将 cookie 发布部分移至您的网络服务器，这意味着您的服务器将创建 cookie，而不是用户的浏览器。

您可以在此处找到促进此类服务器端 cookie 创建的步骤。 如果您在更改 Web 服务器基础架构方面需要任何帮助，请随时与我们联系。

使用由于跟踪问题而对结果产生负面影响的 A/B 测试工具？ 试用 Convert Experiences 的 15 天免费试用版，并查看使我们成为市场上最具隐私意识的工具之一的功能。

智能跟踪预防 (ITP) 2.2

介绍者：苹果（Safari）

时间：2019年4月

总结：2019 年 4 月，Apple 继续堵住 Safari 的反追踪功能——智能防追踪漏洞。 ITP 2.2 与 2.1 和 2.0 相比的最大变化将一些第一方 JavaScript 设置的 cookie 的持续时间限制为一天——低于 ITP 2.1 实施的 7 天。

ITP 2.2 将 cookie 限制为一天，它必须满足三个条件：

1. cookie 是通过 JavaScript 设置的（或者用他们的话来说，“通过 document.cookie 设置”）。 此条件也适用于 ITP 2.1。
2. 将用户引导至着陆页的站点已被 ITP 归类为“具有跨站点跟踪功能”（主要的广告网络，谷歌和 Facebook 肯定是这样分类的）
3. 链接使用链接装饰（它使用查询字符串参数和/或片段标识符）

对 Convert 的影响：以上三个因素加起来意味着 Convert 设置的 cookie 受 ITP 2.2 的影响，如果(i) 您安装了 Convert 跟踪代码的站点接收来自被认为具有跨站点跟踪功能的域的流量并且(ii ) 您将链接装饰用于归因目的。

幸运的是，从上述条件来看，只有第一个对 Convert cookie 有影响，因为它们是通过 Javascript 的 document.cookie 创建的。 我们建议我们的客户将 cookie 创建过程从浏览器移到服务器中，就像我们在 ITP 2.1 解决方法中所做的那样。

SameSite Cookie

介绍者：谷歌（Chrome 版本 76）

时间：2019年5月

摘要：Google 利用 HTTP cookie “SameSite”功能允许开发人员在他们希望允许在第三方上下文中读取其 cookie 时进行通信。

实际上，开发人员可以说“此 cookie 是私有的”，并在创建 cookie 时使 cookie 更加安全。 Chrome 76 中的更新设置了默认的 SameSite 值，即使 Web 开发人员没有明确设置。 这意味着默认情况下，大多数服务器端 cookie 会自动变得更安全。

2020 年 2 月的稳定版 Chrome 80 旨在默认启用此功能，总结如下：

• 没有 SameSite 属性的 Cookie 将被视为 SameSite=Lax。
• SameSite=None 的 Cookie 还必须指定 Secure。

对 Convert 的影响：到目前为止，SameSite 功能似乎只影响 cookie 到后端的传输，这并不重要，因为 Convert 不会这样做。

只有当客户出于不同目的使用 Convert cookie 的后端读取时，它才会产生影响。 为了不依赖默认设置，我们使用 SameSite=Lax 和 Secure 标志设置转换 cookie。

跟踪预防

介绍者：Microsoft Windows (Edge)

时间：2019年6月

摘要：微软于 2019 年 6 月推出了一项新功能，以阻止其基于 Chromium 的 Edge 浏览器中的跟踪脚本。 该公司将此功能称为“跟踪预防”，最初仅在 Edge Insiders Preview Builds 中可用（从 77.0.203.0 开始）。 该公司表示，该功能正在开发中，他们发布了早期版本以获取反馈并加速开发。

基本上，微软所做的是在 Edge 中启用新的跟踪保护类别（基本、平衡、严格）以阻止更多跟踪器。 为了避免兼容性问题，Microsoft 设计了一个系统，该系统可以在平衡模式下根据参与度分数放松跟踪预防。

此功能类似于 Mozilla Firefox 中的增强跟踪保护和 Apple Safari 中的智能跟踪保护，并阻止从用户未直接访问的域加载的任何跟踪脚本。

对转换的影响：转换跟踪器可能会列在信任保护列表中，我们之所以说可能是因为它是 Edge 尚未完全揭示的隐藏组件。 在任何情况下，只有当访问者将跟踪预防设置为严格模式（而不是默认的平衡模式）时，Microsoft Edge 跟踪预防才会阻止转换跟踪器。 因此，在正常浏览中，Convert 的体验不受 Edge 将施加的新设置的影响。

增强的跟踪保护

介绍者：Mozilla (Firefox)

时间：2019年6月

摘要：在 2019 年 6 月 5 日之后首次安装 Firefox 的新用户默认设置了增强跟踪保护 (ETP)。 默认情况下，ETP 会自动设置为浏览器中“标准”设置的一部分，并根据断开连接列表阻止 (i) 已知的“第三方跟踪 cookie”和 (ii) 所有私人/隐身浏览器窗口中的已知跟踪器Mozilla 与之合作。

对转换的影响：转换跟踪器列在断开连接列表中。 但是，Firefox 增强的跟踪保护将阻止转换 仅当访问者使用私人/隐身窗口时跟踪器。 此外，在 Convert 中，为了符合 GDPR，我们于 2018 年 2 月 21 日禁用了第三方 cookie。因此，在正常浏览中 Convert 的体验不受 Firefox 强加的新设置的影响。

WebKit 跟踪预防策略

介绍者：苹果（Safari）

时间：2019年8月

摘要：Apple 的 WebKit 团队于 2019 年 8 月发布了完整的“跟踪预防政策”。

该政策概述了 WebKit 的跟踪工作，并详细说明了 WebKit 阻止的跟踪类型、对策等。 它阻止了几种跟踪技术，包括跨站点跟踪、状态跟踪、隐蔽状态跟踪、导航跟踪、指纹识别、隐蔽跟踪和其他不属于这些类别的未知技术。

对转换的影响：转换跟踪不受本政策的影响，因为它的跟踪不属于上述类别。

智能跟踪预防 (ITP) 2.3

介绍者：苹果（Safari）

时间：2019年9月

摘要：以前，ITP 2.2 将持久客户端 cookie 的寿命从 7 天缩短到 24 小时（如果满足以下三个条件），并通过链接修饰限制跨站点跟踪：

1. cookie 是通过 JavaScript 设置的（或者用他们的话来说，“通过 document.cookie 设置”）。 此条件也适用于 ITP 2.1。
2. 将用户引导至着陆页的站点已被 ITP 归类为“具有跨站点跟踪功能”（主要的广告网络，谷歌和 Facebook 肯定是这样分类的）
3. 链接使用链接装饰（它使用查询字符串参数和/或片段标识符）

但 WebKit 工程师注意到，一些跟踪器已通过将他们的第一方 cookie 移动到其他形式的第一方网站数据存储来跟踪用户。 他们在自己的引荐来源网址中添加了代码，以读取目标页面上的跟踪 ID。

在 ITP 2.3 下，执行此操作的网站将在 7 天后看到其所有非 cookie 网站数据被删除。 结合客户端 cookie 的过期上限，这意味着跟踪器将无法使用链接装饰和长期第一方网站数据存储来跟踪用户。

因此，ITP 2.3 与链接装饰有关。

对转换的影响：正如这里所解释的，很明显，转换跟踪和 cookie 不受 ITP 2.3 下 WebKit 团队为对抗上述跟踪器而采取的新两个步骤的影响。

IsLoggedIn API

介绍者：苹果（Safari）

时间：2019年9月

摘要：在 2019 年 W3C 技术全体会议和咨询委员会会议 (TPAC) 上，WebKit 宣布它正处于测试 API 的早期阶段，该 API 将使浏览器操作员能够查看用户是否登录到网站。

这仍然只是 TPAC 议程中的一个讨论主题，没有进一步实施。

对转换的影响：似乎允许交叉跟踪的 cookie，例如从基于某些查询字符串参数归类为跟踪器的 URL 重定向时设置的 cookie 是受影响的。 Convert 不会进行此类跟踪，因此不会受到影响。

ITP 的增强功能

介绍者：苹果（Safari）

时间：2019年12月

摘要：此次 Safari 更新随 iOS 13.3、iPadOS 13.3 和 macOS Catalina、Mojave 和 High Sierra 上的 Safari 13.0.3 一起发布。

跟踪预防和内容阻止等功能本身可能会被滥用用于跟踪目的。 但是三个新的增强功能使得很难或不可能检测到它可以跟踪哪些 Web 内容和网站数据。

1. 所有第三方请求的仅限来源的引荐来源：例如，对 https://images.example 的请求以前包含引荐来源标头 https://store.example/baby/strollers/deluxe-stroller-navy- blue.html 现在将简化为 https://store.example/。
2. 所有第三方 cookie 均在未经用户事先交互的情况下被阻止
3. 存储访问 API 考虑了底层 cookie 策略

对转换的影响：转换不受这些在 Safari WebKit 中提高跟踪预防水平的增强功能的影响。

概括

需要考虑很多技术细节。您无需成为所有 ITP 更新的专家。 但鉴于不断变化的状态，我们觉得有一点很清楚。

考虑到您要解决的用例的复杂性，浏览器将继续进行调整，直到发生对齐，测试工具设置和安装时间将增加。

如果我们有一条建议可以提供，那就是与像 Convert 这样的面向隐私的供应商合作，并且不要收集您的律师不愿意在法庭上代表您辩论的任何数据！