ITP 1.0到ITP 2.3,基於Cookie的跟蹤何去何從?

2020-12-27 GA小站

什麼是Cookie?

Cookie 廣泛用於各類網站,以在可行範圍內確保最高效、最安全的用戶體驗。Cookie 是小型文本文件,你訪問網站時 Cookie 會被下載至你的個人設備,並存儲在你的瀏覽器上。網站可通過 Cookie 識別用戶設備,並存儲某些與用戶偏好或歷史操作相關的數據。

Cookie可以分為第一方cookie和第三方cookie,第三方cookie用途廣泛,如程序化廣告的頻控,廣告監測,監測分析都會採用。

蘋果的ITP

ITP,全稱為Intelligent Tracking Prevention,中文譯為智能反追蹤技術,是蘋果在2017年的世界開發者大會WWDC上提出的一項Safari的新功能,為更好地保護蘋果產品用戶的隱私。後面發布多個版本,從最開始的限制第三方cookie,到現在的限制第一方cookie,非cookie數據。

ITP 1.0

2007年隨著Safari 11版本的升級發布給用戶,規則做了很大的變動,基本就是滅了第三方cookie的節奏,但也不是出售就直接殺死,而是慢慢來,這一版的規則是;

第三方cookie需在24小時在於其主域有交互才可以使用一天後,30天之前的是不可使用的,被隔離,ITP採用機器學習算法判定哪些域名是用於跟蹤的域名和對過去24小時未訪問的網站用戶的cookie進行隔離。30天後會自動清除,不給你生成。主要注意這裡的交互,是要求你訪問第三方cookie的域名,就是你要打開第三方站點的網站,有點擊,表單提交,這才算操作,如果沒有,根本就不能用,這無疑會阻止或限制訪問許多用於廣告監測和個性化的第三方cookie,降低第三方通過cookie和其他方法跟蹤網絡用戶的能力。

但這對大型的網際網路公司,如Google、Facebook影響有限,因為天天使用這兩個產品,

ITP 1.0上線時,廣告技術公司Criteo的收入立即下降了22%。

ITP 1.1

在ITP 1.0中,對第三方的cookie是很嚴格的,但是現實中是有很多的情況是還需要第三方cookie的,

例如,很多的網站有嵌入Facebook和推特的服務的,你可以直接在你的網站使用Facebook的點like或喜歡,當你將Facebook的社交插件嵌入你的網站時,用戶只有在最近24小時內訪問過facebook.com時才能喜歡/評論。否則,用戶必須經過一個附加的確認屏幕才能執行所需的操作。如果用戶在過去30天內沒有訪問過facebook.com,則他們必須再次登錄(即使他們從未註銷過Facebook)。

其次是,ITP將檢測到此類多頁面嵌入使facebook.com能夠跟蹤用戶跨站點,不同站點都加載你,很容易被識別出來你是提供第三方服務的站點,因此拒絕從facebook.com訪問其第一方Cookie的嵌入內容,僅提供隔離的Cookie,所以獲取不到信息。

除非用戶在過去24小時內與facebook.com作為進行了交互,不然就不能直接使用Facebook的喜歡/評論,這對用戶的使用體驗很糟糕。

Storage Access API允許使用經過身份驗證的嵌入,從而解決了我們的問題。ITP 1.1 的最大更新是引入了Storage Access API,它為嵌入式第三方內容提供了一種機制,可以通過用戶交互來擺脫cookie分區。這個授權有兩種方式,一種用戶主動去操作點擊,才會彈出一個詢問窗口,一種是通過iframe的的調用就不用通知用戶。

ITP1.1的規則是

當天有效,而且需要訪問第三方站點的網站,與之有交互才可使用;1天之後30天之前是用不了,會對第三方cookie隔離,會對隔離做清除,每小時清除一次,cookie隔離被變成代清除狀態的時候,清除後是無法生成新的cookie,也就是被拉黑,你不能再用這個域去生成第三方cookie。30天之後存在直接刪除,不在再生成,是拉黑名單了,知道你是跨站跟蹤的,不給你生成了。跟ITP1.0相比主要是第二條不同,也即是在1天之後30天之前,多一個每小時清除的機制。

ITP 2.0

2018年9月ITP 2.0 發布後,刪除24小時Cookie訪問窗口,蘋果就限制了其瀏覽器上第三方 cookie 的使用,第三方Cookie必須通過經過身份驗證的嵌入可以通過Storage Access API來完成,其他被機器學習識別到是跨域跟蹤直接隔離刪除。

調用Storage Access API形式由用戶主動操作變成頁面自動彈出,簡化了用戶的操作:

而且這種身份驗證的手續數據使用也做了嚴格的限制,只有在用戶有頁面有實際內容的時候才使用,也就是用戶要在頁面有寫評論提交才可以使用第三方cookie。

ITP 2.0 會自動識別中間跳轉,並會刪除其中的數據,如A-B-C,你從A站點點擊到C站點的時候,中間跳轉是經過B的,B的數據會被刪除的。

向第三方網站傳遞referral的時候,只傳遞主域,傳遞頁面,如本來要傳遞http://www.ichdata.com/about-me.html,現在值傳遞www.ichdata.com。保護用戶隱私。

ITP 2.1

Apple在2019年初的時候發布了ITP 2.1版本,第三方cookie會被刪,不能隔離cookie,其實是都刪除,沒必要隔離了,除了登錄cookie外的第一方cookie也會在7天之內被刪除。

同一個用戶在受眾分析工具中,每隔7天就會被視作一個新用戶。

ITP 2.2

2019年4月,ITP 2.2版本隨Safari 12.2發布,特定情況的第一方cookies的壽命由7天變成了1天,注意,不是所有的都變成1天,是符合下面兩種情況的才是:

域名被是被具有跨站能力,這個就是機器學習去判斷使用連結裝飾,帶有ID,參考gclic的參數。

ITP 2.3

2019年9月發布ITP2.3,對非基於Cookie的Web存儲做限制,用連結修飾進行跨站點跟蹤,上面的ID會標記為非Cookie網站數據刪除,就是通過URL上傳遞ID標識的方式被封死了;

存儲訪問的API更新了,因為有些人在第一方cookie限制為7天的時候就想將用戶Id通過API寫到其他存儲裡面去。

Storage Access API自兩次拒絕後改為不允許,不要過度騷擾用戶

在使用Safari七天後,如果用戶未與網站上的網頁進行交互,則將刪除其的所有非cookie網站數據。

雖然Apple不遺餘力的屏蔽cookie,但Apple於 2019年5月發布了針對Safari 的實驗性歸因API,該API支持有限形式的點擊轉化跟蹤,該跟蹤直接內置於瀏覽器且不依賴Cookie。

Firefox的ETP

ETP,全稱是Enhanced Tracking Protection,中文名為增強跟蹤保護。

2018年

引入Firefox的增強跟蹤保護,用戶可以選擇阻止來自第三方跟蹤器的cookie和存儲訪問。旨在有效阻止跨站點跟蹤的最常見形式。要找到此新選項,請轉到Firefox選項/首選項。在左側菜單上,單擊「隱私和安全性」。在「內容阻止」下,單擊「第三方Cookie」旁邊的複選框,然後選擇「跟蹤器(推薦)」:

2019年

6 月 4 日起,默認為新用戶啟用了增強跟蹤保護(ETP)。

針對第一次下載和安裝 Firefox 的用戶,加強跟蹤保護將在瀏覽器的「標準」模式下自動默認開啟,攔截 Disconnect 跟蹤器清單中已知的第三方跟蹤cookies。

針對老用戶,默認開啟的加強跟蹤保護功能將在未來幾個月內自動更新上線,你不必做任何改動。如果你想儘快使用,可以在更新流量器後自行開啟。

谷歌的Chrome

由於Safari和Firefox等競爭性瀏覽器也帶來了壓力,這些瀏覽器最近添加了激進的措施來阻止在公眾中相當受歡迎的第三方Cookie。谷歌目前也在跟進這類措施。

2019年

8月Chrome瀏覽器的「Privacy Sandbox」已開放,任何提供第三方Cookie的廣告技術公司都可以調用該API。包括廣告選擇,轉換測量和防欺詐的潛在用途的情況。

2020年

Chrome 80穩定版(版本號v80.0.3987.87)在2020-02-04已正式面向Windows、macOS、Linux、Android和iOS全平臺推送,此次更新有很多的改變,但主要關註裡面的cookie政策,這次更新的cookie政策明顯是為了滿足IETF提案《Incrementally Better Cookies》提出的兩個關鍵更改:

一是默認值 SameSite=None 變為 SameSite=Lax二是會拒絕 insecure 的 SameSite=None CookieCookie默認設置為SameSite=Lax,會限制第三方cookie的使用,注意是限制,在頁面裡的跨域圖片不會發送 Cookie,但用戶點擊超連結跳轉到其他域仍然會發送。

SameSite = None拒絕不安全的的cookie,要使用第三方cookie,Chrome將要求開發人員將第三方Cookie設置為SameSite = None,並將其標記為安全,使用https的安全形式。

通過停用第三方跟蹤cookie以及更新SameSite cookie 的默認狀態,Google的總體意圖是通過在瀏覽器級別存儲用戶的所有數據來為用戶提供更大的隱私控制。

2022年

Chrome計劃與2022年通過基於瀏覽器的工具和技術,如Privacy Sandbox之類的機製取代第三方Cookie。在無cookie的未來,Google希望根據其「Privacy Sandbox」設定的標準進行廣告定位,衡量和欺詐預防,從而用五個應用程式編程接口代替cookie。

Safari的第三方cookie已經死了,但畢竟Safari的份額沒那麼大,但谷歌提出的停用時間表無疑給第三方Cookie宣判了死刑,雖然有些方式可以應對,但也一直被圍堵的節奏,誰也不知道這種方式還能用多久?目前來看,各大瀏覽器在剿殺第三方cookie或第一方cookie的時候都留一個通過API去實現衡量歸因。

相關焦點

  • AddIons2太慢?你可能需要點奇技淫巧
    3.39967e-01 3.59824e-01 ; 1.91 0.0860 .,我們就可以開始著手整合啦,首先我們來整合蛋白質和配體的文件,步驟如下:複製lig.gro的坐標部分到comlex.gro的坐標部分後面新建一個文件forcefield.itp,這裡面存放所有的力場相關參數1.1 將蛋白質top文件的defaults和atomtypes兩部分複製到forcefield.itp中1.2 配體top文件中的defaults部分應該是和蛋白質一樣的,那就只需要複製配體
  • Firefox63阻止跟蹤cookie,在需要時提供VPN
    今天發布的Firefox 63包含Mozilla所謂的增強跟蹤保護(ETP)的第一版,該功能可改善隱私並阻止您在Web上的活動被跟蹤。跟蹤Cookie存儲代表您的瀏覽器的某種唯一標識符。Cookie綁定到第三方域,即跟蹤公司的域,而不是您正在訪問的站點。
  • 快速掌握HTTP1.0 1.1 2.0 3.0的特點及其區別
    HTTP1.0規定瀏覽器和伺服器保持短暫的連結。瀏覽器每次請求都需要與伺服器建立一個TCP連接,伺服器處理完成以後立即斷開TCP連接(無連接),伺服器不跟蹤也每個客戶單,也不記錄過去的請求(無狀態)。繼承了HTTP1.0的簡單,克服了HTTP1.0性能上的問題。
  • 蘋果的防追蹤技術ITP嚴重影響廣告收入
    多位廣告高管表示,蘋果的智能跟蹤防護(ITP)等隱私保護、防廣告追蹤技術「富有成效」,已經嚴重影響了他們的收入。 廣告行業內部人士稱,蘋果的隱私保護功能讓定向為Safari的廣告價格下降了60%,與此同時針對Google Chrome的廣告價格上漲了。這並不是說 蘋果 Safari的目標用戶價值較低,事實上恰恰相反。
  • 蘋果瀏覽器限制cookie跟蹤:谷歌Facebook受益大
    9月,蘋果以隱私隱憂為由,在它的Safari瀏覽器上推出一項名為「智能跟蹤預防」的功能,限制利用cookie跟蹤用戶瀏覽歷史的行為。這些cookie被廣告技術公司重度使用,它們通過匹配cookie和最有可能點擊在線廣告的網際網路用戶來最大化在線廣告的價值。
  • 視頻目標跟蹤從0到1,概念與方法
    基於檢測與不需要檢測的跟蹤器1.1 基於檢測的跟蹤:將連續的視頻幀給一個預先訓練好的目標檢測器,該檢測器給出檢測假設,然後用檢測假設形成跟蹤軌跡。它更受歡迎,因為可以檢測到新的目標,消失的目標會自動終止。在這些方法中,跟蹤器用於目標檢測失敗的時候。在另一種方法中,目標檢測器對每n幀運行,其餘的預測使用跟蹤器完成。
  • 從session、cookie到token以及JWT
    只能再把這個請求重定向到登陸頁面。這樣用戶就瘋了,怎麼一直讓我登錄。所以,前人想了一個辦法,在第一次登錄後,在伺服器端記錄一個會話id(sessionId),記錄一下用戶及其狀態。然後把sessionId回給瀏覽器。瀏覽器將這個sessionId記錄到cookie裡,下一次請求再帶上。
  • 「必需知道」實用,完整的HTTP cookie指南
    訪問http://127.0.0.1:5000/index/後,後端將在瀏覽器中設置cookie。curl -I http://127.0.0.1:5000/index/可以將 Cookie 保存到文件中以供以後使用:curl -I http://127.0.0.1:5000/index/ --cookie-jar mycookies
  • Redmine 3.0.0/2.6.2 發布,項目管理和缺陷跟蹤
    Redmine 3.0.0 發布,此版本現已提供下載。
  • 瀏覽器存在Cookie和反跟蹤實施問題
    主要問題包括Microsoft Edge不願遵守自己的「僅阻止第三方cookie」設置,繞過Firefox的Tracking Protection功能以及在Chrome和其他基於Chromium的瀏覽器中使用集成的PDF查看器進行不可見跟蹤。
  • 蘋果通過完整的第三方Cookie阻止功能更新了Safari的反跟蹤技術
    蘋果公司周二發布了其Safari智能跟蹤預防(ITP)的重大更新,該功能是一項隱私功能,該功能使該公司的Web瀏覽器可以阻止Cookie並防止廣告客戶窺探您的網絡習慣。根據該功能背後的WebKit工程師Apple的John Wilander所說,Safari 現在可以阻止所有第三方cookie。這意味著,默認情況下,沒有任何廣告商或網站能夠使用通用跟蹤技術在網際網路上關注您。
  • Session和cookie筆記
    會話技術1. 會話:一次會話中包含多次請求和響應。 * 一次會話:瀏覽器第一次給伺服器資源發送請求,會話建立,直到有一方斷開為止2. 功能:在一次會話的範圍內的多次請求間,共享數據3. 方式: 1. 客戶端會話技術:Cookie 2.
  • Django框架cookie和session的詳解
    2.1conkie的作用:主要就是用來登錄狀態的判定2.2cookie的特點: 1.以鍵值對的方式存儲在瀏覽器當中 2. cookie 基於域名安全,意思就是不同的域名cookie是不能相互訪問的, 比如:同一瀏覽器中同時訪問 &34; 和 &34; ,它們各自網站的cookie 是不能相互訪問獲取的,這是它的獨立性和安全性。 3. 瀏覽器訪問某一個網站的時候,會將瀏覽器存儲的相關網站的所有的cookie 都發送給該網站的伺服器。
  • Redmine 3.1.0 發布,項目管理和缺陷跟蹤工具
    Redmine 3.1.0 發布,此版本主要改進如下:Subtasking: option for independent subtask priority/start date
  • Redmine 2.0.2 和 1.4.3 發布
    Redmine 2.0.2 和 1.4.3 發布了,這兩個都是維護版本,修復了一些小 bug,同時包含一些關於 Rails 上的安全漏洞修復:Redmine 2.0.2 (Changelog
  • 淺談Cookie與Session技術
    (2)如何創建一個cookieCookie c = new Cookie(String name,String value);response.addCookie(c);默認情況下,cookie保存在瀏覽器內存中(3)cookie的查詢Cookie[] cookie = request.getCookies();注意
  • JavaWeb——Cookie詳解
    代碼:2、刪除Cookie3、中文數據傳遞一、會話1、服務端給客戶端一個信件,客戶端下次訪問服務端帶上信件就可以了;cookie2、伺服器登記你來過,下次你來的時候我來匹配你;seesionxml version="1.0" encoding="UTF-8"?
  • YouTube廣告基準&要跟蹤的YouTube廣告內容
    本文將為您提供以下信息:1.跟蹤YouTube廣告基準2.何時追蹤特定指標3.一些平均指標4.如何最大化您的YouTube效果廣告指標YouTube基於參與度的YouTube廣告基準接下來,我們將研究可通過YouTube平臺跟蹤的基於參與度的指標:1.
  • Burpsuite內部的cookie處理機制
    您可以使用會話處理跟蹤程序來進行故障排除。跟蹤程序顯示由會話處理功能處理的每個請求(即至少應用了一個會話規則的請求)的清單。對於每個已處理的請求,跟蹤程序顯示執行的規則和操作的順序,以及在順序中的每個步驟中對當前請求所做的更改。
  • 蘋果的Safari瀏覽器現在可以阻止所有第三方跟蹤Cookie
    蘋果已經更新了Safari瀏覽器,特別是智能跟蹤預防工具,該工具可以防止廣告商關注網絡上的人。最新的更新是個大問題。現在,默認情況下,它使用戶能夠阻止所有第三方cookie。考慮到跨站點跟蹤一直是多年來廣告商如何將用戶作為目標用戶的重要組成部分,因此這是網絡歷史上非常重要的裡程碑。這項更改是在蘋果承諾在2022年推出Chrome更改的兩年之前進行的,該更改在macOS上適用於iOS,iPadOS 13.4和Safari 13.1。