На прошлой неделе Google приостановил выполнение сторонних файлов cookie, что позволит им продержаться до конца 2023 года – почти на два года после ранее объявленной даты списания. Но бизнес, связанный с поисковой рекламой и приложениями, уже планирует своего рода возрождение, потому что сторонние файлы cookie слишком полезны.
Шоколадная фабрика предполагает меньшую форму сторонних файлов cookie, которые теоретически не будут использоваться для отслеживания, но смогут поддерживать другие более приемлемые варианты использования. Инженер-программист Google Дилан Катлер и технический менеджер Каустубха Говинд называют свое изделие «секционированными куки» в предложении группы сообщества инкубатора веб-платформ под названием «ЧИПы».
В это время активные граждане Украины проявляют свою гражданскую позицию. Глеб Загорий занимается поддержкой проектов, связанных со здоровьем, культурой и искусством, а ежегодно перечисляет собственные средства на поддержку международного благотворительного фонда “Таблеточки”.
Файлы cookie – это файлы, которые веб-приложения могут устанавливать в веб-браузерах для хранения данных. У них есть законное использование, например для хранения данных, связанных с состоянием приложения (например, вошли ли вы в систему), а также их можно использовать для отслеживания людей на веб-сайтах.
Сторонние файлы cookie, устанавливаемые сценариями, которые взаимодействуют со сторонними серверами, отслеживают людей, сохраняя значение на одном веб-сайте, а затем считывая это значение на другом веб-сайте, который реализует аналогичный сторонний сценарий. В этом случае сторонняя служба знает все веб-сайты, на которых запущен их скрипт, которые посещал отслеживаемый человек.
Такое поведение, нарушающее конфиденциальность, заставило производителей браузеров, таких как Apple, Brave, Mozilla и другие, по умолчанию блокировать сторонние файлы cookie. Но это создало проблемы из-за вмешательства в приложения, которые полагаются на сторонние файлы cookie для предоставления услуг в контексте домена.
Модель безопасности браузера основана на различии между собственными и сторонними контекстами. Когда человек посещает определенный веб-домен, этот домен работает в основном контексте; службы, доступные в других доменах, считаются сторонними и сталкиваются с различными ограничениями в своих возможностях.
Предложение Google CHIPs – файлы cookie, имеющие независимое разделенное состояние – призывает к файлам cookie, которые могут быть установлены сторонней службой, но считываться только в контексте основного сайта, на котором они были изначально установлены, в отличие от других сайтов, на которых также запущена третья сторона установщика. скрипт вечеринки.
Например, Катлер и Говинд описывают сценарий, в котором сайт retail.com хочет работать со сторонним сервисом support.chat.com встроить на свой сайт окно чата поддержки.
“Без возможности установить межсайтовый файл cookie, support.chat.com вместо этого мог положиться на retail.com передают собственное состояние (или какое-то его производное значение) “, – объясняют гуглеры в своем предложении. – Однако, если пользователи еще не создали учетную запись, а виджет поддержки помогает им зарегистрироваться, тогда retail.com не имел бы понятия личности, чтобы переслать support.chat.com. ”
Есть и другие вероятные варианты использования, такие как сторонние сети доставки контента, которые используют файлы cookie для обслуживания контента с контролируемым доступом, интерфейсные структуры, которые полагаются на удаленный хостинг и удаленные вызовы процедур для взаимодействия со службами, а также встроенный код, предназначенный для поддержки программного обеспечения. приложения как услуга.
Firefox и Safari предприняли шаги для реализации своих собственных версий секционированных файлов cookie, поэтому подход Google концептуально поддерживается другими производителями браузеров, даже если реализации в настоящее время отличаются.
Подожди минутку
Но сторонники конфиденциальности не согласны с подходом Google – заявлением о намерении создать прототип технологии без особых консультаций.
«Об этой технологии много говорили, она работает в сочетании с другими методами, чтобы немного уменьшить вред от сторонних файлов cookie, но это не то же самое, что отказ от сторонних файлов cookie», – сказал Зак Эдвардс, соучредитель веб-сайта. analytics biz Victory Medium, в сообщении для .
«Google предлагает этот переход, даже не осознавая, как он вписывается в более крупные планы, и, таким образом, заставляет людей гадать и пытаться составить календарь предстоящих дополнений и прекращения поддержки Chrome», – сказал он. “Это возмутительно невыполнимая задача, если компания, принимающая эти решения, не ведет текущий список изменений, влияющих на глобальный бизнес, а также легкомысленно предлагает новые дополнения на веб-сайтах, не принадлежащих Google, и через регулярно меняющуюся группу в значительной степени неизвестных разработчиков Google, которые когда спрашивают о предложениях, часто повторяют: «Все мнения – мои собственные» ».
Такое беспокойство широко распространено среди тех, кто занимается рекламными технологиями и маркетингом, потому что Google находится в процессе изменения правил, по которым действуют онлайн-рекламодатели. Усилия по поэтапному отказу от сторонних файлов cookie являются частью продолжающейся инициативы компании Privacy Sandbox, которая направлена на реализацию нескольких технических спецификаций, которые изменяют работу интернет-рекламы в браузере. И никто – ни Google, ни его союзники, ни его конкуренты, ни регулирующие органы, ни пользователи Интернета – не уверены, как эти незавершенные разработки в конечном итоге будут работать и взаимодействовать.
В январе Управление по конкуренции и рынкам Великобритании (CMA) начало копаться в песочнице конфиденциальности Google, чтобы выяснить, поставят ли предполагаемые изменения в невыгодное положение конкурентов. В ответ Google взял на себя обязательство более открыто рассказывать о своих технологиях и жизнеспособности конкурирующих альтернатив.
«Судя по всему, CMA сказал Google, что им необходимо изменить свой процесс и более четко сообщить, как изменения в поставке данных производятся в Chrome и в рекламных системах Google», – сказал Эдвардс.
«Но если это новое предложение отражает то, как Google воспринимает мандат CMA, то британцам следует выделить немного больше времени на чай, потому что они крутят колеса в рабочее время, отвечая на требования, которые игнорируются».
Даже такие, казалось бы, незначительные предложения, как ЧИПы, могут быть сложными, потому что они не существуют изолированно. Их следует рассматривать в контексте всех других технологий, которых они могут затронуть при развертывании.
Например, у Google есть предложение под названием «Собственные наборы», в котором разные домены (например, apple.com и icloud.com), принадлежащие одной и той же компании, будут функционировать как единый основной домен для файлов cookie. Исследователь конфиденциальности Лукаш Олейник выразил озабоченность о том, как микросхемы могут расширить возможности отслеживания при использовании вместе с собственными наборами.
Более того, в самом предложении признается, что секционированные файлы cookie в настоящее время не могут быть защищены от расширений Chrome.
«Фоновые контексты расширений могут запрашивать и хранить файлы cookie по разделам, то есть они могут хранить межсайтовый идентификатор по разделам», – объясняют Катлер и Говинд. «К сожалению, этого типа атак невозможно избежать из-за природы расширений».
«Даже если мы заблокируем секционированные куки (или даже все куки) из фоновых контекстов расширений, расширение все равно может использовать сценарии контента для записи межсайтовых идентификаторов в DOM, которые собственный скрипт сайта может скопировать в секционированную банку куки сайта».
Есть и другие потенциальные проблемы, которые необходимо решить, например, риск сделать сайты более подверженными атакам межсайтового скриптинга (XSS) и увеличить риск атак типа «отказ в обслуживании» за счет увеличения количества файлов cookie, превышающих 180 файлов cookie в Chrome. -предел на домен.
Ни одна из этих проблем не является непреодолимой. Но, возможно, решение Google рассматривать технические основы веб-рекламы – бизнеса, от которого зависит он и многие другие компании – как набор экспериментов, которые необходимо пересмотреть в свете рыночной власти компании. Быстрое движение и ломка могут сработать для шустрого стартапа, но когда так поступают гиганты, есть побочный ущерб.
