Pas de cookies, pas de problème - Utiliser ETag pour suivre les utilisateurs

En tant que consultant senior en analyse numérique dans une agence d'analyse mondiale de premier plan, je regarde avec beaucoup d'intérêt la croisade actuelle des navigateurs Web modernes contre la technologie des cookies.



Il s'avère qu'il existe un moyen de suivre les utilisateurs individuels non connectés sans utiliser de cookies. J'ai également mis en œuvre cela. Maintenant, je vais vous montrer comment.

Pour plus de clarté, j'ai créé un site de démonstration. Il est la.



Cliquez sur chacun des trois boutons Page → Tous les trois ont le même identifiant.

Fermez la fenêtre du navigateur et rouvrez le site → L'identifiant n'a pas changé.

Éteignez votre ordinateur et visitez cette page Web demain → L'identifiant est toujours le même.

Vérifiez vos cookies → Le site de démonstration n'écrit ni ne lit les cookies.

Vérifiez l'URL -> Il n'y a pas de chaînes de requête douteuses.



Alors, comment puis-je stocker exactement l'identifiant et savoir que vous revenez sur le site à partir d'un certain appareil, sans connexion et sans utiliser de cookies?

EDISON .




— « » — -, CRM-, , iOS Android.



, : — ;-)

Cookies

Si vous êtes un internaute assez actif, vous avez probablement été confronté à des discussions interminables d'une manière ou d'une autre concernant les cookies et leur utilisation. De nos jours, les technologies de navigation rejettent de plus en plus les cookies - d'autant plus que tout est désormais strictement réglementé par des règles de confidentialité, telles que le RGPD ou le CCPA. Bien qu'il s'agisse certainement d'un progrès, car il s'agit d'une étape importante vers un Internet plus axé sur la confidentialité, cela pèse également énormément sur les fonctionnalités de base de la plupart des sites Web, leur UX, la structure économique d'Internet et le secteur de l'analyse numérique. Bien qu'il soit techniquement très sûr pour le navigateur d'utiliser un cookie comme identifiant pour l'utilisateur qui revient, il existe d'autres technologies Web disponibles.basé sur le stockage d'informations sur un ordinateur local.

Le rôle du cache

Voici le cache . Fondamentalement, la mise en cache Web signifie stocker des données d'Internet sur votre appareil, afin que le navigateur puisse réutiliser ces données plus tard lorsque la même ressource est à nouveau demandée. Par exemple, lorsqu'un utilisateur charge une page Web pour la première fois, le serveur envoie la page entière au navigateur. Lorsque la page est mise en cache et que l'utilisateur demande à nouveau la même page le lendemain, le navigateur s'en souvient et le serveur n'a pas besoin de la renvoyer, la page dans le navigateur peut être immédiatement affichée à partir du cache. Il est beaucoup plus rapide et offre un débit élevé. En général, la technologie de mise en cache augmente considérablement la vitesse de livraison du contenu Web et réduit également considérablement la quantité de travail effectuée côté serveur.



La mise en cache peut être effectuée à l'aide d'ETag. Ce sont les identifiants associés à chaque ressource fournie par le serveur (telle qu'une page Web ou une image). De cette manière, le serveur détermine si l'utilisateur a mis en cache la version la plus récente de la ressource. Lorsqu'une ressource sur le serveur change, un nouvel identifiant ETag est généré pour cette ressource.

• Lundi.
  
  L'utilisateur visite le site Web pour la première fois. → ETag est manquant dans la requête. → La page du site est envoyée au navigateur avec ETag 123. → Le site est enregistré (mis en cache) sur l'appareil local.
• Mardi L'
  
  utilisateur visite à nouveau le même site → ETag 123 est inclus dans la requête sortante → Le serveur vérifie si la ressource a changé ("ETag ID reste le même?") → Si ETag n'a pas changé, le serveur indique au navigateur: il suffit d'utiliser le site qui a déjà été livré et mis en cache lundi. → Il n'est pas nécessaire de renvoyer la ressource Web, le temps et le trafic sont économisés. Profit.

Utilisation de la technologie de mise en cache pour suivre et identifier les utilisateurs

Bien que ETag soit spécialement conçu pour la mise en cache, cette fonctionnalité peut également être piratée et délibérément utilisée pour suivre les utilisateurs.



Voici comment je l'ai fait dans mon exemple:

• Un simple site Web de trois pages est en cours de création.
• iFrame . iFrame — 1x1, .
• - iFrame, PHP . , ETag iFrame, .
• , (, , iFrame), ETag . , ETag.
• → ETag : , . .
• → ETag : . ID. .
• — ETag ID :
  
  ID / iFrame . , iFrame . JavaScript cookie.

ETag ID iFrame Chrome DevTools.

ETag

Cela peut être délicat. Il n'utilise pas de cookies ni de stockage local du navigateur. Fonctionne sans JavaScript. Et le User-Agent n'est pas utilisé.



Cependant, les utilisateurs disposent de plusieurs options pour se protéger contre le suivi ETag:

• Désactivez la mise en cache dans les paramètres du navigateur.
  
  Soyez prudent ici - comme expliqué ci-dessus, la mise en cache peut être très utile et présente de nombreux avantages.
• headers .
  
  headers, , ModHeader. ? ETag . , If-None-Match, , ETag . .

Pourquoi est-ce que je vérifie ces choses? Pourquoi ai-je écrit cet article? Je n'ai bien sûr pas l'intention d'utiliser cela à grande échelle. Mais si ETag peut être utilisé par de mauvaises personnes, cet exemple démontre un point important: comme la plupart des autres technologies, ETag par défaut n'est pas nécessairement nuisible. Selon l'usage pour lequel il est utilisé.



Je pense qu'il est important que tout le monde connaisse l'existence de telles méthodes. Et qu'ils peuvent être utilisés. Il y a eu de nombreux cas où des sites ont utilisé illégalement ETag. Certains de ces incidents ont même été réglés au tribunal. Et il est probable que de telles méthodes seront de plus en plus utilisées par l'industrie de la publicité terrifiée, qui voit s'effondrer l'un de ses piliers: le coockie.



L'un des nombreux exemples (sûrs) d'ETags sur Internet peut être trouvé, par exemple, dans la politique de confidentialité de Wendy concernant les cookies et les technologies de suivi:





ETag peut générer des valeurs de suivi uniques même si l'utilisateur bloque les cookies HTTP, Flash et / ou HTML5.



Une annonce comme celle-ci semble être un exemple du nombre de sites utilisant ETag dans leurs politiques de confidentialité. Pour être clair: cela en soi n'est ni mauvais ni illégal. Les valeurs ETag doivent bien entendu être uniques. C'est le but de leur travail à des fins de mise en cache. Cependant, cette section est très vague et ambiguë, en particulier lorsqu'il s'agit de savoir si ces valeurs ETag sont utilisées pour le suivi ou non. Et je pense personnellement que c'est un problème. Lorsqu'ils ont été interrogés auprès du service de confidentialité de Wendy, ils ont répondu par un courrier électronique standard de copier-coller confirmant que les ETags ne sont pas utilisés pour le suivi. La politique de confidentialité, cependant, laisse cette porte grande ouverte. Et c'est ce qui m'inquiète.



Je crois au transfert ouvert et transparent des connaissances à travers l'industrie - entre les fournisseurs d'analyse, les éditeurs, les annonceurs et les utilisateurs d'Internet. À mon humble avis, le manque d'ouverture est l'une des principales raisons pour lesquelles nous nous sommes tous retrouvés impliqués dans cette sale guerre avec les cookies: l'écosystème Internet a toujours souffert d'un manque de transparence, la technologie se développe trop rapidement pour que la législation puisse les suivre, et les gens ne comprennent pas les nombreux subtilités des technologies Web comme les cookies. Et lorsque la technologie est mal utilisée, l'utilisateur se sent naturellement vulnérable. Mais l'interdiction de la technologie s'avère être un cas classique de traitement des symptômes et non de cause. Le fait que de nombreuses entreprises technologiques abusent de technologies telles que les cookies,forme une attitude injuste envers la technologie de la part du public. Ce qui, à son tour, conduit à une action disproportionnée de la part des développeurs de navigateurs et de la législation. Bien que ces mesures visent à garantir la protection de la vie privée, elles nuisent également à une innovation positive et significative.



Il y a toujours des nuances. Je crois fermement à la légitimité et à l'importance d'une analyse numérique sérieuse - à condition qu'elle soit effectuée avec le niveau de confidentialité approprié. Que se passe-t-il après que le magasin a légitimement identifié le visiteur? ETag peut certainement être utilisé à de nombreuses fins différentes. Mais une chose est sûre: ce sujet ne deviendra jamais ennuyeux.