ITGLOBAL.COM corporate blog
Website development
Development for e-commerce
Mobile App Analytics
Legislation in IT
Comments 24
0
Похоже, при распространении таких систем единственный вариант — это продвигать уход от JS и любого исполнения недоверенного кода на стороне клиента.
Потребуются какие-то другие стандарты для таких действий, как подгрузка превью и комментариев, а выполнение JS должно быть доступно для тех сайтов, где без этого никак (например, онлайн-редакторы документов и т.д.)
+1

Это решение остаётся за администратором ресурса, даже если ему навязать JS-free стандарт, он может трекать посетителей сам и предоставит RTB-аукциону данные по пользователем, если каждый показ сможет продать подороже. Если дальше закручивать гайки, то аукцион "уйдёт" на backend, наверное.
Ну и как сказано в статье и без JS можно трекать по Etag, по поведению (смотреть referer), в целом по заголовкам (User-Agent) и в конце концов по IP.
И чем мешает JS (кроме как может использовать ваш CPU для майнинга :) но и это блокируют)?
fingerprinting тоже научились обходить, вроде бы браузер отдаёт данные хаотично, чтоб отпечаток был разный.


По мне уже блокировка 3rd-party кук серьёзно подрежет возможности трекинга.


Что по внедрению JS от всяких disqus или google analytics, то вроде как есть тренд на переход на свои решения или self-hosted альтернативы. Потому что любой внешний запрос на сайте можно монетизировать (опять же для трекинга).

0

Поезд уже, к сожалению, ушёл.
Есть множество фреймворков с рендерингом данных на стороне клиента — т.е. вам передаётся набор шаблонов + набор данных, а ваш браузер из этого компота строит web страницу.
Она даже может быть просто статичной страничкой, без интерактивного воздействия с пользователем, но всё-равно с отклбченными JS работать не будет.


Таких сайтов уже крайне много и процесс перехода займёт неопределённое время.

0
Надеюсь во имя больших баллов в PageSpeed и лучшей индексации они прикрутят серверный пререндеринг и адекватную работу без JS.
0
Скрипты для таких фреймворком можно сделать «доверенными». Сделать для браузера реестр доверенных фреймворков по аналогии с дополнениями.
Смысл в том, чтобы:
1. Из существующих рендерящих движков данные никуда не утекали (что можно подтвердить через аудит кода)
2. Автор фреймворка не мог просто так добавить шпионящий функционал с обновлением.
0
использование отпечатков не является в данный момент нарушением? к примеру у меня отпечаток используется для безопасности — на основе отпечатка считается хэш который и посылается на сервер. это позволяет мне не беспокоиться о том, что токен аутентификации будет украден
0
Я не обладаю юридическими знаниями в чтобы делать выводы по новым правилам. Но если они зациклилась на cookie то они немного наивны. Т.к. супер корпорации типа google в настоящее время могут определить клиента например по его почерку работы с мышью. Или даже по почерку работы с клавой имеется в виду время междунажатиями клавиш.
+1

Интересно к чему приведут все эти ограничения в эпоху тотального HTTPS? Здесь трекинг (session id, token) заложен на уровне протокола.

+1
В статье имеется в виду трекинг Васи Пупкина вне зависимости от того, с каких машин и на какие ресурсы он заходит. Что бы можно было знать, что две недели назад Вася с рабочего компьютера интересовался курсами по 1С, потом две недели отдыхал в стране третьего мира и там зачем-то с нетбука искал таблетки от желудочных инфекций (но не нашёл). И вот теперь, когда Вася вернулся из отпуска и зашел в любимый бложик с домашнего ноута, мы насыпем ему рекламы про таблетки, про курсы и про хостинг для фоточек и про вакансии по 1С в его регионе (а в следующий раз еще слегка поднимем ему цены на билеты — специально для него).

Никакой такой session id в HTTPS эту задачу не решает.
0

Есть возможность затрекать последовательность запросов к одному сайту и это уже неплохо. Условный скрипт google analytics подключен на миллионах сайтов. Добавить сюда же CDN, скрипты соц сетей и т.п Если вы владеете ключевыми ресурсами, то у вас неплохие шансы — для идентификации достаточно, чтобы пользователь был деанонимзирован на любом из ресурсов. Чем не глобальный трекинг?

+1
Без кукисов или любой подобной технологии эти ключевые ресурсы могут только сопоставить между собой разные сессии на разных ресурсах только если они активны прямо сейчас и инициированы одним и тем же процессом (и при этом в браузере нет какой-нибудь песочницы, которая не дает одному сайту повторно использовать соединения, открытые ради того же хоста но уже в соседней вкладке).

В общем и целом: особенности протоколов транспортного и сеансового уровней никак не заменят вам особенностей протоколов прикладного уровня.
0

Активные соединения не такая уж проблема даже штатными средствами. У людей по 100500 открытых вкладок, в современных браузерах есть всевозможные workers. Я не утверждаю, что https это панацея. Просто он даёт немало возможностей прямо из коробки. В принципе ведь и те же куки можно отключить или ходить каким-нибудь lynks. Но так мало кто делает (а значит это тоже возможность для идентификации).

+3
Весь мир сошел с ума. Я зашел на сайт GDPR. Там перешел в раздел «партнёры». На сайтах обоих партнёров мне насыпали ведро кук и не предупредили об их использовании. Почти все коробочные бэкэнд решения выставляют куки. Многие прокси сервера доставляют. И вообще ничто не мешает не ставить новые, а использовать связку с теми уникальными айдишками и хоть обследиться.
Куки появились на заре развития интернета и они уже здорово ограничены размером в 4кб. Забавно, но про кэширование статики никто пользователя не предупреждает, а она может сожрать намного больше места на диске (изначально до GDPR боролись с тем что сайты пишут без спросу данные на пользовательские компьютеры) и по кэшу тоже можно отлично отслеживать, да точность снизится и разработчикам будет нужно навернуть костылей (проверять что юзер запросил только хэдеры, но не выкачивал тело) на бэкэнд, но когда это останавливало капитал?
Каждый европейский сайт теперь пугает посетителей плашкой о страшных куках — на мой взгляд стало хуже ровно на один попап для каждого нового ресурса, вместо этой борьбы с ветряными мельницами — лучше бы в школах рассказали что такое куки и зачем\как на самом деле порубить их у себя локально.
0

Законодатели совершили классическую ошибку — попытались разъяснить логику и цель закона в технических терминах с названиями технологий. В ответ бизнес просто чуть-чуть изменил технологии и ушел из-под действия закона ;(

0
Вписываются в букву закона, извращая его суть. Просто не нужно следить за пользователями.
-2

Статья совсем не про отказ от кукисов. Статья про то, как ещё, помимо кукисов, можно идентифицировать пользователей, чтобы продолжить впаривать им таргетированную рекламу и не подпадать под законы.

0
Если бы они реально хотели бороться с трекингом пользователем они бы давно пришли с обысками в гугл, фейсбук, твиттер, ютуб и т.д.

А запрет на куки без разрешения только помогает крупным компаниями, каждый хоть раз бывал на их сайтах и получал куку в браузер
0
Подо всё это нужно менять технологии, в первую очередь. Кроссайтовое взаимодействие (когда в любом блоге есть скрипты от фейсбука, вконтакта, гугла, твиттера и прочих) должно быть очень сильно ограничено.
Реферреры — убраны как явление.
Куки — у каждого браузера должен быть список сайтов, которым позволено их сохранять, и кнопка сверху: «Сохранять куки от этого сайта / отозвать разрешение» (но только не всплывающее уведомление, как это было в старой опере 10-й версии)
Ну и с кэшированием содержимого придётся что-то делать: полная анонимность потребует куда большего расхода трафика.

Так что никаких обысков не надо. А вот поумерить пыл гугла в протаскивании разных удобных ему нововведений в стандарт — это бы надо, но пока не представляю, как это сделать.
+1
Только не жёстко: разрешить/запретить куки, а выставить время их сохранения.
Например, если я захожу на неизвестный сайт, я хочу, чтобы всё работало, но чтобы через 30 минут обо мне забыли.
Сейчас я этого добиваюсь расширением для браузера, но если бы была встроенная фитча такая, было бы намного комфортнее.
0
у каждого браузера должен быть список сайтов, которым позволено их сохранять, и кнопка сверху: «Сохранять куки от этого сайта / отозвать разрешение»
В Firefox практически это есть
0
Т.е. до этого они просто меня идентифицировали как ID сессии, который я могу удалить/поменять/не принимать/взять у друга/придумать свой. И по этому ID можно только понять, что я уже был на этом сайте, но не кто и какой я. А теперь они собирают ВСЮ информацию обо мне? И это типа лучше с точки зрения защиты личной информации? Где-то тут на*бка, не кажется?
0
Ну да, и собирают всю вашу историю серфинга, если вы про гугл-анал и т.п.
Only those users with full accounts are able to leave comments. , please.