Gen 1cookiesGen 2fingerprintingGen 3first-party CNAMEGen 4server-side tagsGen 5identifier graphseach generation responds to defenses against the prior one

Веб-відстеження

11 хв. читанняКонфіденційність

Веб-відстеження розвивалося через кілька поколінь технік. Печиво було оригінальне. Відбитки пальців браузера заповнили прогалину, коли файли cookie були обмежені. Відстеження на стороні сервера базується на блокувальниках. Сучасна екосистема відстеження поєднує в собі всі ці графіки з ідентифікаторами, які пов’язують ваші пристрої в різних контекстах. Розуміння повної картини пояснює, чому «приватний перегляд» не дає багато чого.

Повний текст статті подано англійською мовою нижче.

Веб-відстеження — це широка категорія методів, які використовуються для ідентифікації користувачів під час відвідувань, сайтів і пристроїв для реклами, аналітики, виявлення шахрайства та інших цілей. Ця категорія розвивалася через кілька епох; розуміння шарів показує, чому блокувальники реклами та браузери конфіденційності допомагають, але не усувають проблему.

Покоління 1: Cookies

Класика. Файли cookie третіх сторін уможливлювали міжсайтове відстеження протягом десятиліть. Перегляньте нашу статтю про файли cookie . У 2017 році Safari за замовчуванням заблокував сторонні файли cookie; Firefox у 2019 році; Chrome почав обмежувати у 2024 році. Епоха файлів cookie згасає, але все ще актуальна на багатьох сайтах.

Покоління 2: відбитки пальців у веб-переглядачі

Коли файли cookie було обмежено, трекери перейшли до відбитків пальців — ідентифікації користувачів за комбінацією налаштувань браузера, графічного процесора, шрифтів, розміру екрана, аудіосигналу та подібних сигналів. Перегляньте нашу статтю про відбитки пальців . Перевага для трекерів: він працює, не зберігаючи нічого на пристрої користувача, перемагаючи захист на основі файлів cookie.

Покоління 3: власне обслуговування та маскування CNAME

Трекери реагують на блокування сторонніх файлів cookie, обслуговуючи власний домен сайту. Такий сайт, як example.com, може мати запис CNAME (analytics.example.com → tracker.tracker-company.com), щоб запити трекера відображалися першою стороною для веб-переглядача. Файли cookie, встановлені на analytics.example.com, є файлами cookie першої сторони, які витримують блокування третьою стороною. Розробники браузерів

у відповідь також обмежили файли cookie першої сторони, які відповідають шаблонам відомого трекера. «Кішки-мишки» тривають.

Покоління 4: відстеження на стороні сервера

Замість запуску JS у браузері користувача сайт надсилає дані трекерам на стороні сервера після відвідування користувачем. Часто з основними тегами на стороні сервера (Менеджер тегів Google на стороні сервера, Facebook Conversions API). Браузер користувача бачить лише звичайні запити сайту; відстеження відбувається між сервером і трекером.

Це важко заблокувати на стороні клієнта, оскільки браузер не бачить відстеження. Захист — це політика та юридичний рівень, а не технічний.

Покоління 5: графіки ідентифікаторів

Найскладніше відстеження збирає ідентифікатори з різних джерел:

  • Адреса електронної пошти → хешується в LiveRamp, Acxiom, Experian Marketing Services графіки
  • Номер телефону → схожі хешовані пошуки
  • Ідентифікатори пристроїв → приєднано до електронної пошти/телефону через події входу
  • Wi-Fi MAC, Bluetooth → приєднано до даних фізичної присутності
  • Платіжні картки → приєднано через аналітику транзакцій платформи

Результат: графік ідентичності, що пов’язує ваші пристрої, електронні листи, телефон, членів родини, сім’ю, місця, які ви відвідуєте, речі, які ви купуєте. Графік постійно оновлюється з багатьох каналів; бренди запитують його, щоб знайти «ту саму людину» в різних контекстах.

Основні категорії трекерів

  • Мережі реклами — Google, Meta, Microsoft, Amazon, TradeDesk. Персоналізація реклами.
  • Аналітичні послуги — Google Analytics, Adobe Analytics, Mixpanel, Amplitude. Аналіз використання сайту.
  • Менеджери тегів — Менеджер тегів Google, Tealium. Контейнерні системи для трекерів.
  • Соціальні пікселі — Facebook Pixel, Twitter Pixel, LinkedIn Insight. Міжконтекстна атрибуція.
  • Бібліотеки відбитків пальців — FingerprintJS, ThreatMetrix, Iovation. Fraud-detection-cum-tracking.
  • Партнерські мережі — Skimlinks, RewardStyle, Impact. Придбайте атрибуцію.
  • Інструменти Heatmap — FullStory, Hotjar, LogRocket. Детальний повтор сеансу UX.
  • Брокери даних — LiveRamp, Acxiom, Oracle Data Cloud. Роздільна здатність міжконтекстної ідентифікації.

Який захист насправді працює

  • Браузери із захистом від відстеження — Brave, Mullvad Browser, Tor Browser, Firefox із суворим ETP. Блокуйте відомі домени трекерів і захищайте відбитки пальців.
  • uБлокувати Origin зі списками фільтрів за замовчуванням — блокує більшість трекерів на основі файлів cookie та JS.
  • Блокування на рівні DNS — Pi-hole, NextDNS, AdGuard DNS. Блокує на мережевому рівні для всіх пристроїв.
  • Контейнерний перегляд — контейнери кількох облікових записів Firefox, ізоляція Safari для кожного сайту. Обмежує повторне використання файлів cookie між сайтами.
  • Обмеження входу в обліковий запис — виходьте з системи там, де це можливо. Користувачі, які ввійшли в систему, надають трекеру детермінований ідентифікатор.
  • iOS App Tracking Transparency забороняє IDFA. Ефективний для відстеження мобільних додатків.
  • Мережева анонімність — VPN для подолання відстеження на основі IP, Tor для більшої анонімності.

Від чого все ще важко захиститися

  • Відстеження на стороні сервера, коли сайт призначення співпрацює з трекер
  • IРозділення графіка ідентифікації на основі даних, якими ви вже поділилися (ваша електронна адреса міститься в 100 місцях)
  • Відстеження через легальні облікові записи, у які ви залишаєтеся,
  • PLZ75X
  • Телеметрія на рівні OS, прив’язана до облікових записів операційної системи

Для комплексного захисту важливі всі рівні. Браузер конфіденційності без VPN все ще витікає дані на рівні мережі; VPN без браузера конфіденційності все ще пропускає відбитки пальців браузера; обидва без окремих облікових записів все ще витікають. Поєднання ось що працює.

Часті запитання

Відстеження є незаконним?
Переважно ні, із значними застереженнями. GDPR вимагає згоди на відстеження персональних даних жителів ЄС; CCPA вимагає права відмови в Каліфорнії. Багато юрисдикцій не мають комплексного закону про відстеження. Застосування існуючих законів є нерівномірним. Відстеження є типовим; обмеження є винятком.
Чи припиняє відстеження приватний перегляд?
Локально так, зовнішньо ні. Приватний перегляд не дозволяє вашому браузеру зберігати стан відстеження. Це не заважає трекеру ідентифікувати вас під час цього сеансу за допомогою відбитків пальців або інших методів.
Який браузер найкраще підходить для захисту від відстеження?
За замовчуванням: Brave — найсильніший із вбудованими щитами. Firefox із суворою конфігурацією ETP і arkenfox user.js можна порівняти. Браузер Tor найбільш стійкий, але порушує зручність використання деяких сайтів. Safari добре працює на iOS/macOS. Chrome без розширень найгірший.
Чи достатньо блокувальників реклами?
Важливий крок, але не завершений. Блокувальники реклами виловлюють відомі домени трекерів за допомогою списків фільтрів; вони пропускають відстеження на стороні сервера, відстеження першої сторони та відбитки пальців. Поєднайте веб-переглядач, орієнтований на конфіденційність, і VPN для багаторівневого захисту.
Чи виправить відстеження смерть сторонніх файлів cookie?
Скоротити певні класи; відстеження переміститься на інші методи. Google Privacy Sandbox пропонує альтернативні файли cookie, які мають на меті поважати конфіденційність; критики сумніваються, наскільки вони насправді поважають конфіденційність. Економічний стимул для відстеження великий; очікуйте продовження еволюції.
Пояснення веб-відстеження: веб-сайти ідентифікують вас багатьма способами