Сторонні кукі

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

Сторонні кукі  (англ. Third-party cookies) — це HTTP-cookie, які використовуються переважно для вебвідстеження у рамках вебрекламної екосистеми.

Зазвичай HTTP-cookie відправляються лише на сервер, який їх встановлює, або на сервер у тому ж домені, але вебсторінка може містити зображення або інші компоненти, розміщені на серверах в інших доменах. Сторонні кукі — це кукі, які встановлюються під час отримання цих компонентів.

Таким чином, сторонні кукі можуть належати до домену, відмінного від того, який відображається в адресному рядку, але при цьому можуть корелюватися з вмістом основної вебсторінки, дозволяючи відстежувати відвідування користувачів на різних вебсайтах.

Такі кукі зазвичай з'являються, коли на вебсторінках присутній контент з інших вебсайтів, таких як банерна реклама. Хоча спочатку вони не призначалися для цієї мети, існування сторонніх кукі відкриває можливість для вебвідстеження історії переглядів користувачів і використовується рекламодавцями для подання релевантної реклами кожному користувачу. Сторонні кукі широко розглядаються як загроза для конфіденційності та анонімності користувачів Інтернету.

Станом на 2024, усі основні браузери мали плани щодо поступового припинення використання сторонніх кукі.[1] Це рішення було скасовано для Google Chrome у липні 2024 року.[2]

Механізм

[ред. | ред. код]
У цьому вигаданому прикладі рекламна компанія розмістила банери на двох вебсайтах. Завдяки розміщенню зображень банерів на своїх серверах та використанню сторонніх кукі, рекламна компанія може відстежувати перегляди користувачів на цих двох сайтах.

Наприклад, припустімо, що користувач відвідує www.example.org. Цей вебсайт містить рекламу з ad.foxytracking.com, яка при завантаженні встановлює кукі, що належать до домену реклами (ad.foxytracking.com). Потім користувач відвідує інший вебсайт, www.foo.com, який також містить рекламу з ad.foxytracking.com і встановлює кукі, що належать до цього домену (ad.foxytracking.com). Врешті-решт, обидва ці кукі будуть відправлені рекламодавцю під час завантаження їхньої реклами або відвідування їхнього вебсайту. Рекламодавець може використовувати ці кукі для створення історії переглядів користувача на всіх вебсайтах, які містять рекламу цього рекламодавця, завдяки використанню поля заголовка HTTP referer.

Станом на 2014, деякі вебсайти встановлювали кукі, доступні для понад 100 сторонніх доменів.[3] У середньому, один вебсайт встановлював 10 кукі, з максимальною кількістю кукі (первинних та сторонніх), що досягала понад 800.[4]

Старіші стандарти для кукі, RFC 2109[5] та RFC 2965,[6] рекомендували, щоб браузери захищали конфіденційність користувачів і не дозволяли обмін кукі між серверами за замовчуванням. Однак новий стандарт, RFC 6265,[7], опублікований у квітні 2011 року, дозволяє агентам користувачів реалізовувати будь-яку політику щодо сторонніх кукі на власний розсуд, і до кінця 1990-х років дозволяння сторонніх кукі було політикою за замовчуванням, яку реалізували більшість основних постачальників браузерів.

Закони про конфіденційність та діалоги згоди на використання кукі

[ред. | ред. код]

Хоча веб-відстеження є корисним для рекламодавців, воно широко розглядається як загроза особистій конфіденційності. Це призвело до створення законів проти відстеження без згоди користувачів, найвідомішим з яких є європейський GDPR.

Це спричинило створення діалогів «cookie consent», які швидко стали стандартною функцією на рекламно-фінансованих (та багатьох інших) вебсайтах і відзначаються використанням темних шаблонів, щоб змусити користувачів дозволити відстеження, ускладнюючи для них відмову від надання згоди.

Деякі вебсайти також реагували на це, просто блокуючи доступ користувачам із країн з дружніми до конфіденційності законами.

[ред. | ред. код]

Більшість сучасних веб-браузерів мають налаштування конфіденційності, які можуть блокувати сторонні файли cookie, і деякі тепер блокують всі сторонні файли cookie за замовчуванням — станом на липень 2020 року такими браузерами є Apple Safari,[8] Firefox,[9] та Brave.[10] Safari дозволяє вбудованим сайтам використовувати API доступу до сховища для запиту дозволу на встановлення файлів cookie першої сторони. У травні 2020 року Google Chrome версії 83 представив нові функції для блокування сторонніх файлів cookie за замовчуванням у режимі приватного перегляду Incognito, зробивши блокування необов'язковим під час звичайного перегляду. Те ж оновлення також додало опцію блокування файлів cookie першої сторони.[11] Google планувала почати блокування сторонніх файлів cookie за замовчуванням наприкінці 2024 року, а в січні 2024 року розпочала цей процес із пілотної схеми, в якій блокування було реалізовано для 1 % всіх користувачів Chrome.[12][13]

Замінники

[ред. | ред. код]

Оскільки відстеження в Інтернеті на основі сторонніх файлів cookie було важливою частиною існуючої екосистеми реклами, впроваджуються кілька пропозицій щодо їх заміни.

Google пропонує використовувати таргетинг на основі інтересів у браузері, де інтереси користувачів можуть зберігатися локально в браузері, а потім передаватися на сервери реклами без прямого розкриття особи користувача. Google Privacy Sandbox від Google є одним із таких впроваджень.

Інші підходи включають використання відбитків браузера для відстеження користувачів на різних сайтах, що зазвичай вважається загрозою для конфіденційності на тому ж рівні, що й сторонні файли cookie. Існують також побоювання, що таргетинг на основі інтересів може бути використаний для ідентифікації користувачів.

[ред. | ред. код]

Існує кілька методів обходу блокування сторонніх файлів cookie. Один із них полягає в тому, що оператори веб-сайтів можуть вказати ім'я DNS у межах власного домену сайту на сервер рекламодавця, що фактично робить файли cookie, встановлені на цьому сервері, файлами cookie першої сторони з точки зору браузера, одночасно надаючи третій стороні контроль над інформацією файлів cookie.

Інший підхід полягає в тому, що оператор веб-сайту може проксіювати трафік від клієнта до серверів служби відстеження. Оскільки це дозволило б оператору веб-сайту легко подавати неправдиву інформацію до служби відстеження, це навряд чи буде широко використовуватися.

Примітки

[ред. | ред. код]
  1. Grossman, Josh (2023). Що таке сторонній кукі та для чого він використовується?. Ketch. Процитовано 11 червня 2024.
  2. Google відмовляється від плану щодо видалення сторонніх кукі у Chrome - CBS News. www.cbsnews.com (амер.). 22 липня 2024. Процитовано 25 липня 2024.
  3. Сторонні домени. WebCookies.org. Архів оригіналу за 9 грудня 2014. Процитовано 7 грудня 2014. [Архівовано 2014-12-09 у Wayback Machine.]
  4. Кількість кукі. WebCookies.org. Архів оригіналу за 9 грудня 2014. Процитовано 7 грудня 2014. [Архівовано 2014-12-09 у Wayback Machine.]
  5. Шаблон:Cite ietf
  6. Шаблон:Cite ietf
  7. Шаблон:Cite ietf
  8. Statt, Nick (24 березня 2020). Apple updates Safari's anti-tracking tech with full third-party cookie blocking. The Verge (англ.). Процитовано 24 липня 2020.
  9. Firefox starts blocking third-party cookies by default. VentureBeat (амер.). 4 червня 2019. Процитовано 24 липня 2020.
  10. Brave (6 лютого 2020). OK Google, don't delay real browser privacy until 2022. Brave Browser (амер.). Процитовано 24 липня 2020.
  11. Protalinski, Emil (19 травня 2020). Chrome 83 arrives with redesigned security settings, third-party cookies blocked in Incognito. VentureBeat. Процитовано 25 червня 2020.
  12. Google now delays blocking 3rd-party cookies in Chrome to late 2024. Business Standard India. 28 липня 2022. Процитовано 23 вересня 2022.
  13. Google Chrome starts blocking data tracking cookies. BBC News (брит.). 4 січня 2024. Процитовано 5 січня 2024.

Шаблон:Веб-браузери