隱私和安全亮點：2019 年跟踪和 Cookie 的變化（以及它對 2020 年測試的意義）

2018 年下降，因為這一年隱私永遠改變了。

GDPR 留下了它的印記……在讓我們發笑的模因以及讓我們（有點）不知所措的全面數據收集、處理和透明度要求中。

但沒有人預料到 2019 年會是一個大豐收。 然而，確實如此。 瀏覽器投入使用以使用戶感到更安全，並相信他們的個人詳細信息和偏好不會被用於在互聯網上無情地投放廣告。

以下是2019 年發生的反跟踪和跟踪預防變化的細目，這對營銷人員和測試人員意味著什麼，以及 Convert 是如何處理這些變化的。

2019 年跟踪預防和 A/B 測試有何變化？

Mozilla 的反跟踪政策

介紹者：Mozilla (Firefox)

時間：2019年1月

摘要：Mozilla Firefox 於 2019 年 1 月發布了一項反跟踪政策，該政策定義了 Firefox 未來將默認阻止哪些跟踪技術。 政策中概述了以下類型：

• 基於 Cookie 的跨站點跟踪 — 第三方可能使用 Cookie 和其他存儲類型來跟踪 Internet 上的用戶。

• 基於 URL 參數的跨站點跟踪 — 另一種跨站點跟踪實踐，它依賴於 URL 而不是 cookie 來傳遞用戶標識符。

• 瀏覽器指紋識別——網站可能會在連接期間使用瀏覽器提供的數據，或使用某些網絡技術來創建用戶指紋。
• Supercookies — 也稱為 Evercookies。 指用於跟踪的存儲，當用戶清除瀏覽歷史和數據時不會自動清除。 查看 Firefox 使用的緩存列表。

對轉換的影響：詳細閱讀後，轉換跟踪不受本政策影響，因為它的跟踪不屬於上述類別。

智能跟踪預防 (ITP) 2.1

介紹者：蘋果（Safari）

時間：2019年2月

摘要：蘋果在2019年2月發布了ITP 2.1； 這是 ITP 更新，主要針對使用 JavaScript 設置的第一方 cookie。

Apple 正式將客戶端（基於 JavaScript）cookie 限制為 7 天。 ITP (1.x) 的最早版本限制了第三方 cookie 的持續時間。

ITP 2.1 破壞了營銷人員為 Safari 用戶跟踪、分析、衡量、定位和個性化的核心工作。

讓我們解開這個：

• 網站分析失去了準確性，因為網站訪問者在 7 天后被遺忘，從而誇大了營銷人員在網站上看到的唯一訪問者數量。 這種通貨膨脹可能會影響營銷人員開發內容和促銷的方式。

• 由於營銷人員獲得洞察力的機會有限，A/B 測試受到了影響。 A/B 測試只有 7 天的窗口來測試內容和跟踪結果。 訪問網站少於每週的客戶被視為新訪問者，可能會被集中到不同的測試組中，從而導致結果數據不准確。

• 數據管理平台 (DMP) 的移動設備數量激增，因為周期性 cookie 清除會為並非新的移動設備創建新的標識符。 這會誇大受眾規模，並可能影響受眾的創建方式。 營銷人員冒著根據過時或不完整的數據建立受眾細分的風險。

• 個性化也受到影響。 未經身份驗證的網站利用基於過去行為和偏好的個性化工具來創建一致的客戶體驗，但沒有歷史數據來個性化內容。 因此，客戶的網絡體驗不一致。

• 歸因更難執行。 借助縮短的回溯期，營銷人員無法歸因於用戶最後一次訪問網站後超過 7 天發生的轉化。 營銷人員錯誤地將功勞歸於活動，並將最後一次營銷接觸的功勞歸於過高，從而冒著在無效渠道上超支的風險。

對 Convert 的影響：您可以了解上述內容如何影響您的 Convert 實驗結果，尤其是在您使用 Safari 瀏覽器擁有大量受眾的情況下。 因此，我們考慮了很多解決 ITP 2.1 的方法，最終決定將 cookie 創建過程從瀏覽器移到服務器中。

由於新的 cookie 持續時間限制僅適用於瀏覽器創建的 cookie，我們將 cookie 發布部分移至您的網絡服務器，這意味著您的服務器將創建 cookie，而不是用戶的瀏覽器。

您可以在此處找到促進此類服務器端 cookie 創建的步驟。 如果您在更改 Web 服務器基礎架構方面需要任何幫助，請隨時與我們聯繫。

使用由於跟踪問題而對結果產生負面影響的 A/B 測試工具？ 試用 Convert Experiences 的 15 天免費試用版，並查看使我們成為市場上最具隱私意識的工具之一的功能。

智能跟踪預防 (ITP) 2.2

介紹者：蘋果（Safari）

時間：2019年4月

總結：2019 年 4 月，Apple 繼續堵住 Safari 的反追踪功能——智能防追踪漏洞。 ITP 2.2 與 2.1 和 2.0 相比的最大變化將一些第一方 JavaScript 設置的 cookie 的持續時間限制為一天——低於 ITP 2.1 實施的 7 天。

ITP 2.2 將 cookie 限制為一天，它必須滿足三個條件：

1. cookie 是通過 JavaScript 設置的（或者用他們的話來說，“通過 document.cookie 設置”）。 此條件也適用於 ITP 2.1。
2. 將用戶引導至著陸頁的站點已被 ITP 歸類為“具有跨站點跟踪功能”（主要的廣告網絡，谷歌和 Facebook 肯定是這樣分類的）
3. 鏈接使用鏈接裝飾（它使用查詢字符串參數和/或片段標識符）

對 Convert 的影響：以上三個因素加起來意味著 Convert 設置的 cookie 受 ITP 2.2 的影響，如果(i) 您安裝了 Convert 跟踪代碼的站點收到來自被認為具有跨站點跟踪功能的域的流量並且(ii ) 您將鏈接裝飾用於歸因目的。

幸運的是，從上述條件來看，只有第一個對 Convert cookie 有影響，因為它們是通過 Javascript 的 document.cookie 創建的。 我們建議我們的客戶將 cookie 創建過程從瀏覽器移到服務器中，就像我們在 ITP 2.1 解決方法中所做的那樣。

SameSite Cookie

介紹者：谷歌（Chrome 版本 76）

時間：2019年5月

摘要：Google 利用 HTTP cookie “SameSite”功能允許開發人員在他們希望允許在第三方上下文中讀取其 cookie 時進行通信。

實際上，開發人員可以說“此 cookie 是私有的”，並在創建 cookie 時使 cookie 更加安全。 Chrome 76 中的更新設置了默認的 SameSite 值，即使 Web 開發人員沒有明確設置。 這意味著默認情況下，大多數服務器端 cookie 會自動變得更安全。

2020 年 2 月的穩定版 Chrome 80 旨在默認啟用此功能，總結如下：

• 沒有 SameSite 屬性的 Cookie 將被視為 SameSite=Lax。
• SameSite=None 的 Cookie 還必須指定 Secure。

對 Convert 的影響：到目前為止，SameSite 功能似乎只影響 cookie 到後端的傳輸，這並不重要，因為 Convert 不會這樣做。

只有當客戶出於不同目的使用 Convert cookie 的後端讀取時，它才會產生影響。 為了不依賴默認設置，我們使用 SameSite=Lax 和 Secure 標誌設置轉換 cookie。

跟踪預防

介紹者：Microsoft Windows (Edge)

時間：2019年6月

摘要：微軟於 2019 年 6 月推出了一項新功能，以阻止其基於 Chromium 的 Edge 瀏覽器中的跟踪腳本。 該公司將此功能稱為“跟踪預防”，最初僅在 Edge Insiders Preview Builds 中可用（從 77.0.203.0 開始）。 該公司表示，該功能正在開發中，他們發布了早期版本以獲取反饋並加速開發。

基本上，微軟所做的是在 Edge 中啟用新的跟踪保護類別（基本、平衡、嚴格）以阻止更多跟踪器。 為了避免兼容性問題，Microsoft 設計了一個系統，該系統可以在平衡模式下根據參與度分數放鬆跟踪預防。

此功能類似於 Mozilla Firefox 中的增強跟踪保護和 Apple Safari 中的智能跟踪保護，並阻止從用戶未直接訪問的域加載的任何跟踪腳本。

對轉換的影響：轉換跟踪器可能會列在信任保護列表中，我們之所以說可能是因為它是 Edge 尚未完全揭示的隱藏組件。 在任何情況下，只有當訪問者將跟踪保護設置為嚴格模式（而不是默認的平衡模式）時，Microsoft Edge 跟踪保護才會阻止轉換跟踪器。 因此，在正常瀏覽中，Convert 的體驗不受 Edge 將施加的新設置的影響。

增強的跟踪保護

介紹者：Mozilla (Firefox)

時間：2019年6月

摘要：在 2019 年 6 月 5 日之後首次安裝 Firefox 的新用戶默認設置了增強跟踪保護 (ETP)。 默認情況下，ETP 會自動設置為瀏覽器中“標準”設置的一部分，並根據斷開連接列表阻止 (i) 已知的“第三方跟踪 cookie”和 (ii) 所有私人/隱身瀏覽器窗口中的已知跟踪器Mozilla 與之合作。

對轉換的影響：轉換跟踪器列在斷開連接列表中。 但是，Firefox 增強的跟踪保護將阻止轉換 僅當訪問者使用私人/隱身窗口時跟踪器。 此外，在 Convert 中，為了符合 GDPR，我們於 2018 年 2 月 21 日禁用了第三方 cookie。因此，在正常瀏覽中 Convert 的體驗不受 Firefox 強加的新設置的影響。

WebKit 跟踪預防策略

介紹者：蘋果（Safari）

時間：2019年8月

摘要：Apple 的 WebKit 團隊於 2019 年 8 月發布了完整的“跟踪預防政策”。

該政策概述了 WebKit 的跟踪工作，並詳細說明了 WebKit 阻止的跟踪類型、對策等。 它阻止了幾種跟踪技術，包括跨站點跟踪、狀態跟踪、隱蔽狀態跟踪、導航跟踪、指紋識別、隱蔽跟踪和其他不屬於這些類別的未知技術。

對轉換的影響：轉換跟踪不受本政策的影響，因為它的跟踪不屬於上述類別。

智能跟踪預防 (ITP) 2.3

介紹者：蘋果（Safari）

時間：2019年9月

摘要：以前，ITP 2.2 將持久客戶端 cookie 的生命週期從 7 天縮短到 24 小時（如果滿足以下三個條件），並通過鏈接修飾限制跨站點跟踪：

1. cookie 是通過 JavaScript 設置的（或者用他們的話來說，“通過 document.cookie 設置”）。 此條件也適用於 ITP 2.1。
2. 將用戶引導至著陸頁的站點已被 ITP 歸類為“具有跨站點跟踪功能”（主要的廣告網絡，谷歌和 Facebook 肯定是這樣分類的）
3. 鏈接使用鏈接裝飾（它使用查詢字符串參數和/或片段標識符）

但 WebKit 工程師注意到，一些跟踪器已通過將他們的第一方 cookie 移動到其他形式的第一方網站數據存儲來跟踪用戶。 他們在自己的引薦來源網址中添加了代碼，以讀取目標頁面上的跟踪 ID。

在 ITP 2.3 下，執行此操作的網站將在 7 天后看到其所有非 cookie 網站數據被刪除。 結合客戶端 cookie 的過期上限，這意味著跟踪器將無法使用鏈接裝飾和長期第一方網站數據存儲來跟踪用戶。

因此，ITP 2.3 與鏈接裝飾有關。

對轉換的影響：正如這裡所解釋的，很明顯，轉換跟踪和 cookie 不受 ITP 2.3 下 WebKit 團隊為對抗上述跟踪器而採取的新兩個步驟的影響。

IsLoggedIn API

介紹者：蘋果（Safari）

時間：2019年9月

摘要：在 2019 年 W3C 技術全體會議和諮詢委員會會議 (TPAC) 上，WebKit 宣布它正處於測試 API 的早期階段，該 API 將使瀏覽器運營商能夠查看用戶是否登錄到網站。

這仍然只是 TPAC 議程中的一個討論主題，沒有進一步實施。

對轉換的影響：似乎允許交叉跟踪的 cookie，例如從基於某些查詢字符串參數歸類為跟踪器的 URL 重定向時設置的 cookie 是受影響的。 Convert 不會進行此類跟踪，因此不會受到影響。

ITP 的增強功能

介紹者：蘋果（Safari）

時間：2019年12月

摘要：此次 Safari 更新隨 iOS 13.3、iPadOS 13.3 和 macOS Catalina、Mojave 和 High Sierra 上的 Safari 13.0.3 一起發布。

跟踪預防和內容阻止等功能本身可能會被濫用用於跟踪目的。 但是三個新的增強功能使得很難或不可能檢測到它可以跟踪哪些 Web 內容和網站數據。

1. 所有第三方請求的僅來源引薦來源：例如，對 https://images.example 的請求以前包含引薦來源標頭 https://store.example/baby/strollers/deluxe-stroller-navy- blue.html 現在將簡化為 https://store.example/。
2. 所有第三方 cookie 均在未經用戶事先交互的情況下被阻止
3. 存儲訪問 API 考慮了底層 cookie 策略

對轉換的影響：轉換不受這些在 Safari WebKit 中提高跟踪預防水平的增強功能的影響。

概括

需要考慮很多技術細節。您無需成為所有 ITP 更新的專家。 但鑑於不斷變化的狀態，我們覺得有一點很清楚。

考慮到您要解決的用例的複雜性，瀏覽器將繼續進行調整，直到發生對齊，測試工具設置和安裝時間將增加。

如果我們有一條建議可以提供，那就是與像 Convert 這樣的面向隱私的供應商合作，並且不要收集您的律師不願意在法庭上代表您辯論的任何數據！