谷歌公司于当地时间2022年7月27日宣布将于2024年下半年逐步禁用第三方Cookie。谷歌之前承诺的最后时间是2022年,现在延期了。
什么是第三方Cookie
所谓第三方Cookie是指由用户当前访问的网站域名之外的其它域名下存储和操作的Cookie,用户和当前访问网站是第一、第二方,网站中嵌入的其它域名服务就属于第三方。
举例如下:
用户访问网站a.com =>
网站a.com在浏览器中访问了远程图片b.com/xxx.jgp =>
b.com的服务端在Http协议中设置了Cookie(通过Set-Cookie):userId=xxx =>
userId=xxx被保存到用户浏览器中
这里用户和a.com是第一、第二方,第三方就是b.com,而userId=xxx就是第三方的Cookie。
第三方Cookie的作用
正面作用
第三方Cookie有一个非常重要的作用就是用来跨站点标识用户。
用户访问了网站A,再访问网站B时,第三方Cookie服务可以识别出这是同一个用户。原理如下:
用户访问网站a.com =>
网站a.com在浏览器端访问第三方服务c.com =>
c.com通过Http向用户浏览器写入Cookie:userId=xxx,即第三方Cookie =>
用户关闭网站a.com,访问网站b.com =>
网站b.com在浏览器端向第三方服务c.com发送请求,这时userId=xxx会被放入Http请求中,一起发给c.com的服务端 =>
第三方服务c.com通过userId=xxx判断这个b.com的用户和之前网站a.com的用户是同一个人
只要各个网站都接入统一的第三方用户行为收集服务,并上报用户的行为,那理论上这个第三方服务可以知道某个用户在互联网的几乎任何行为。对用户行为进行收集统计,从而进行有针对性的服务或者改进产品,从而提升服务和产品的品质。
负面作用
- 允许使用第三方Cookie带来了CSRF、XSS等安全隐患。
- 用户行为被跨站追踪,用户在各个站点的行为被记录,隐私泄露的风险极大。
禁用第三方Cookie对行业带来的影响
精准广告投放
对用户行为进行追踪可以按照用户的特征和喜好对用户进行广告投放。 例如:
- 你浏览了某电商网站上的某个商品,当你用相同的电脑浏览器浏览其它网站时,这个网站的广告栏位可以继续给你推送这个商品的广告,这样你买这个商品的几率就会变大。
- 通过你在某个网站的用户行为可以判定你为20岁的年轻女性用户,当你访问其它网站时,其它网站的广告栏位可以给你推送和20岁年轻女性相关的产品服务,这会大大增加广告的投放成功率。
因此广告平台商是第三方Cookie的重度用户,而谷歌就是广告平台商之一,广告服务是谷歌的重要收入来源。如果禁用第三方Cookie,谷歌等广告平台商的收入会受影响。而是否禁用第三方Cookie最终还是要看各个浏览器厂商,谷歌的Chrome浏览器是目前浏览器市场的主流,只要它不禁用,那广告业务就不会受太大的影响,这就是谷歌的商业逻辑,谷歌耗费巨大的人力开发出免费供大家使用的浏览器,推动了整个Web技术的进步,同时还赚到了钱,双赢的局面。但是现在迫于隐私泄露问题的压力,第三方Cookie不得不逐步退出历史舞台。这对谷歌和广告产业着实是一个不小的挑战。 事实上苹果的Safari浏览器早就默认开启了禁用第三方Cookie的功能,虽然有一套规则,但总体上还是要禁用。苹果毕竟不依靠这个赚钱,做起决定来自然也就轻松了。
用户行为统计
不管是公司内部的还是第三方的统计公司,一般都会使用一个独立的域名来提供统计服务。统计服务会在浏览器中写入Cookie,用来标记一个用户。为了不和具体业务耦合,该Cookie会通过Http的Set-Cookie的形式存入统计服务域名下,由于统计服务的域名和具体业务的域名不同,所以这个Cookie会被浏览器认为是第三方Cookie,它被禁用会影响我们的统计服务,最明显的一个变化就是,会发现PV变化不大,但是UV明显变多了,因为统计服务是通过Cookie是否存在来辨别是新用户还是老用户的,由于浏览器不再保存第三方Cookie,因此即使用户之前已经访问过一次,也会被当作新用户。
谷歌的替代方案“Privacy Sandbox”
自从几年前Safari、Firefox开始禁用第三方Cookie后,有一个技术开始流行起来,那就是浏览器指纹技术,它通过获取用户浏览器相关的特征来标识一个唯一用户。但是这个技术只能算作一种Hack。还有就是退而求其次,改用第一方Cookie,所谓第一方Cookie就是统计服务将Cookie存入业务域名下,统计服务只需要提供一段Javascript代码,在代码中通过document.cookie存入Cookie,然后业务网站引入这段代码,Cookie便会被存入业务网站域名下。但是这种方式无法实现跨站用户标识,也容易被业务方污染Cookie,并不是一个理想的做法。
谷歌公司提供了正式的替代方案:“Privacy Sandbox”。为什么是谷歌?因为它是依赖第三方Cookie挣钱的公司,现在不得不禁用第三方Cookie,它自然就会积极的去思考替代方案。“Privacy Sandbox” 的提议被放在了公共论坛上,来供业内人士讨论和提建议,谷歌计划2023年第三季度,将其加进Chrome,然后在2024年下半年开始逐步淘汰第三方Cookie。不过这个方案是否会被其它浏览器厂商接受,目前还是个未知数。我们后续将专门讲解“Privacy Sandbox”方案。
