Новый метод идентификации пользователя без использования cookies

7 июля 2020
272
0
На чтение: 5 мин

Новый метод идентификации пользователя без использования cookies

Последние 25 лет маркетологи использовали cookie, чтобы отслеживать действия пользователей на сайте. Это не всегда безопасно, данные посетителей веб-платформы могут перехватить злоумышленники, что обычно приводит ко взлому аккаунтов. Хорошего в этом мало, количество таких случаев растет и рождает перемены. Блокировка на уровне браузера, приложения, которые препятствуют рекламе, ужесточение правил конфиденциальности — все это вытесняет cookie с просторов интернета. Вывод — нужно искать альтернативные способы идентификации пользователя. Сегодня приведем в пример один из рабочих вариантов. Интересно? Поехали!

Cookies уходит на задний план

Дискуссий на тему cookie много. По сути, технология действительно очень удобная: ввел данные, браузер запомнил, и не нужно в следующий раз заново возиться с авторизацией. Но то, как эта персональная информация используются, не во всех случаях понятно. В 2018 году ЕС обновил правила обработки персональных данных. Согласно GDPR, теперь ответственности за конфиденциальность пользователей у организаций больше. Многие веб-платформы попросту начали отказываться от cookie. Так, с одной стороны, усиливается контроль защиты личной информации, с другой — страдает функционал многих веб-сайтов, экономическая отрасль сети и диджитал аналитика.

Тем не менее рассматривать cookie как единственный инструмент хранения данных неправильно. Есть и другие.

Миссия кэша

Основная функция веб-кэширования — ускорение процесса извлечения данных. Принцип работы механизма такой: браузер запоминает информацию по просмотренным страницам, что значительно ускоряет доставку веб-контента и сокращает работу серверу. Так, например, если вы часто заходите на Яндекс, картинки не подгружаются каждый раз с сервера сайта. Браузер держит их в кэше и достает всякий раз, когда вы вновь открываете поисковик.

ETag — это механизм, который является частью веб-кэширования в HTTP. Это идентификатор, который присваивается файлу веб-страницы сервером для последующей проверки. Так технология выясняет, кэшировалась ли новая версия страницы. Из преимуществ можно выделить то, что ETag положительно влияет на скорость работы страниц сайта и уменьшает нагрузку на канал. Никаких дополнительных настроек не требуется, механизм поддерживается на всех веб-платформах.

Наглядный пример:

День 1. Пользователь впервые на странице незнакомого ему ресурса, запроса ETag еще нет. Сервер отправляет данные страницы в браузер с ETag555. Сайт кэшируется на устройстве.

День 2. Пользователь повторно заходит на сайт, ETag555 уже включен. Сервер анализирует запрос на наличие изменений. Если данные не менялись, браузер будет пользоваться тем же ресурсом, который был кэширован в первый день.

Мы всеми руками за user experience, поэтому ловите сайт и попробуйте нажать на все три кнопки интерфейса (Page). Что происходит? Идентификатор не меняется. Попробуйте перезагрузить свой ПК и повторить то же самое на следующий день, показатели будут те же. В cookies вы не найдете никакой информации — этот сайт не запоминает ваши данные и в URL будут отсутствовать сведения о сомнительных запросах. И все же можно узнать, с какого именно устройства вы были активны на этой платформе.

Кэш и данные пользователей

ETag можно также использовать для наблюдения и персонализации посетителей ресурса. Рассмотрим на примере сайт, который указан параграфом выше и разберем его технологию:

  • ресурс простой, создан с тремя страницами;
  • на каждой странице вставлен iFrame (невидимый пиксель 1х1 белого цвета);
  • при запросе iFrame, PHP генерирует случайный идентификатор на стороне сервера. Уникальный признак используется для переопределения идентификатора ETag для iFrame (обычно сервер дает его автоматически);
  • всякий раз, когда пользователь будет нажимать на одну из страниц, ETag входит в запрос и проходит проверку на сервере;
  • если ETag уже есть, значит, это тот же посетитель. При новом пользователя генерируется новое значение.

Etag ID поддается аналитике следующим образом: берется ID из заголовка/ответа в iFrame на стороне сервера. Теперь в нем заложен идентификатор пользователя. На стороне посетителя сайта берется JavaScript и в запрос аналитики вместо cookie включается этот уникальный показатель.

Новый метод идентификации пользователя без использования cookies

Защита данных от ETag

Есть несколько способов избежать отслеживания данных:

  • Отключить кэширование в опциях браузера. Не самый лучший вариант, но это работает. Однако следует помнить, что с кэшом чтение веб-страниц происходит быстрее. При отключении функции не исключено, что сайты будут загружаться медленнее;
  • Менять заголовки headers при помощи надстройки браузера. Во многих браузерах этого делать нельзя, но на это есть дополнительные разрешения такие как ModHeader. Файлы остаются в кэше на стороне пользователя, и при повторном посещении браузер запрашивает их снова. В процессе к запросу добавляется строка If-None-Match. Допустим, пользователь меняет заголовок If-None-Match и делает его пустым при каждом запросе, значение ETag будет генерироваться заново. Персонализировать в этом случае девайс невозможно.

Новый метод идентификации пользователя без использования cookies

Заключение

Функционал ETag полностью зависит от намерений человека. Нужно быть в курсе того, что кроме cookie есть и другие методы работы с информацией о посетителях сайта, а также честно применять эти знания на практике. Однако так поступают далеко не все. 

Есть ряд случаев, в которых ETag использовался незаконно. Не исключено, что такие события ещё будут повторяться в будущем. Многие организации расплывчато формулируют разделы, которые касаются ETag. Есть наглядная история с компанией Wendy. В политике конфиденциальности организации указано: «С помощью ETag можно генерировать уникальные значения отслеживания, даже если пользователь блокирует файлы cookie HTTP, Flash и/или HTML5». Эти строчки не являются противозаконными, и при обращении в компанию по данному пункту отвечают, что личные данные посетителей сайта не отслеживаются. Тем не менее в политике конфиденциальности конкретика отсутствует, и это проблема.

Новый метод идентификации пользователя без использования cookies

Непрозрачность в отношении передачи файлов и есть главная причина в истории борьбы с cookie файлами. Пользователь не хочет чувствовать себя уязвимым, а нечестная политика компаний формирует общее недоверие общества и даже тормозит технологическое развитие. Остается только надеяться, что в будущем технологии перестанут использоваться ненадлежащим образом.

Есть что рассказать об арбитраже трафика?
Стань автором ZorbasMedia!
Оставить заявку