什么是智能跟踪预防和它是如何工作的?[版本1.0 - 2.3]

到场的行业数据和隐私

什么是智能跟踪预防和它是如何工作的?[版本1.0 - 2.3]

发布于2017年9月27日,更新于2020年11月25日

苹果在科技创新方面已经建立了强大的声誉,在用户隐私保护方面也一直走在前列。随着iOS 11和Safari的更新,该公司推出了名为“智能跟踪预防”(Intelligent Tracking Prevention)的功能,进一步保护了用户的隐私。

什么是智能跟踪预防?

智能跟踪预防是系统的一个新特性WebKit这是一个开源网络浏览器引擎,为苹果的Safari浏览器提供动力,,在新版本中发布Safari 12和iOS 11

该功能旨在通过改变Safari处理第一方cookie的方式来进一步保护用户的在线隐私。

智能跟踪预防如何工作?

在智能跟踪预防概念出现之前,Safari桌面浏览器和移动浏览器都被屏蔽了第三方的饼干并允许iOS用户通过安装Safari扩展来阻止广告内容-受体阻滞药(可从iOS 9开始)。

Safari的智能跟踪预防(ITP)如何处理cookie和非cookie数据

第一方cookie传统上是安全的,不会被任何形式的自动屏蔽或删除,因为它们负责提供无缝的用户体验。

例如,第一方cookie可以保持会话信息开放,它可以记住以下内容:

  • 我们的登录状态,它可以用来保持你登录到网站和应用程序。
  • 您将哪些产品添加到购物车中。
  • 网站设置,例如您选择的语言版本。
  • 您在表单中输入的值(例如,在白皮书下载表单上的姓名、电子邮件和公司)。

然而,一些第一方cookie可以像第三方cookie一样用来跟踪用户,而Safari 11的发布就是针对这类数据。

当第一方cookie成为跟踪器

大多数人不会将第一方cookie与跟踪器联系在一起,但在某些情况下这是可能的,这就是事情开始变得有点棘手的地方。

为了帮助解释这一点,让我们看一个例子,说明第一方cookie是如何在使用桌面或移动Safari浏览器(或任何其他web浏览器)时通过Internet跟踪用户的。

示例—用户单击广告

对于本例,我们将了解这个过程如何在Safari浏览器上工作,但在其他浏览器上也会以类似的方式工作——取决于它们如何处理初始cookie和第三方cookie。

广告重定向服务是如何创建第一方cookie的

这是上图中发生的事情:

  1. 用户访问一个网站,网站在其域名(example.com)中创建一个第一方cookie (xzy890)并分配给用户。
  2. 然后,用户点击广告,就会被引导到AdTech平台的域名(ad.ads-r-us.com)。
  3. AdTech平台在其域(即ads.ads-r-us.com)下创建第一方cookie (klm456)并将其分配给用户。
  4. 然后,AdTech平台将浏览器重定向到广告商的登陆页面(www.usedcarsite.com)。

需要注意的是,AdTech平台之所以能够创建第一方cookie,是因为用户点击了广告,然后广告就被定向到AdTech平台的域。这允许Safari将cookie解释为第一方cookie。如果用户没有点击广告,那么AdTech平台就无法创建第三方cookie,因为Safari默认会屏蔽这些cookie。

由于AdTech平台在其域名(ads-r-us.com)下创建了一个第一方cookie,并将其分配给用户,它现在可以跟踪用户在网络上的移动,并为他们提供个性化的广告。

然而,随着ITP 1.0的发布,第一方cookie作为追踪器的这种能力发生了轻微的变化,并从那以后进一步受到限制,以对抗AdTech供应商开发的各种变通方法。

到目前为止,ITP已经发布了六个版本——1.0、1.1、2.0、2.1、2.2和2.3。

智能跟踪预防(ITP)版本1.0和1.1

以下是智能跟踪预防的工作原理:

1.智能跟踪预防整合了一个机器学习模型(被称为机器学习分类器),以评估哪些私人控制的域具有跨不同网站跟踪用户的能力。该模型基于浏览器收集的统计信息。

2.如果机器学习分类器标识特定的第一方cookie(例如ad.ads-r-us.com)可以用于跟踪,然后cookie将被阻止,除非您使用存储访问API请求用户允许使用您的cookie(更多信息在下面)。

为了解释ITP的第一个版本(1.0和1.1)是如何工作的,我们将看看一些场景:

场景#1:点击广告后的0-24小时

在ITP的1.0和1.1版本中,有一个功能允许第一方追踪器像第三方追踪器一样,只要用户在24小时内访问该网站。

它是这样运作的:

智能跟踪预防24小时后点击一个广告

用户访问一个网站(example.com)并点击一个广告。广告科技平台(ads-r-us)显示该广告将为该用户创建第一方cookie。如果用户随后访问ads-r-us.com在点击广告后的24小时内,来自ads-r-us.com的第一方cookie将能够作为第三方追踪器发挥作用。
在这种情况下,cookie可以在第三方上下文中使用,例如用于重定向。

需要注意的是,为了实现这种情况,用户必须访问AdTech平台的网站(ads-r-us.com),这是极不可能发生的,因为大多数用户根本不访问这类网站。下面是一些AdTech供应商使用的解决方案。

然而,用户经常访问像Facebook这样的网站,或使用谷歌的服务(例如mail.google.com),或访问由其他围墙花园广告公司运营优德88备用网的网站,这意味着这些公司有更好的机会保持他们的跟踪cookie活跃(下文将详细介绍)。

场景2:点击广告后24 -30天

用户不访问ads-r-us.com在点击广告的24小时内。然而,他们确实会在点击广告3天后访问该网站。

说明智能跟踪(ITP) 1.0工作原理的示例图表

在这种情况下,由于用户没有在24小时内访问ads-r-us.com, ads-r-us.com创建的cookie不能在第三方环境中使用——例如,它不能用于广告重定向,必须向用户显示非重定向的广告。

在24小时宽限期之后,cookie应该存储在第一方上下文中,或者最好是作为HTTP cookie(后面会详细介绍),以完全避免这些问题。这是为了防止它们被用于重新定位,但仍然允许其他目的,如维护单点登录会话。

同样,由于存储访问API,这个场景不再适用。

场景#3:点击广告后30天

用户无法访问ads-r-us.com在点击广告后的30天内。

智能跟踪预防30天后,点击一个广告

如果用户点击广告后30天没有与跟踪域交互,所有cookie将从跟踪域清除。在这种情况下,ads-r-us.com创建的第一方cookie将被清除。

1.1国际旅游业伙伴关系

ITP 1.1引入了一些变化,使得使用提供嵌入式内容(如嵌入式视频)或社交登录的第三方服务更加容易。优德88备用网这是因为ITP 1.0打破了嵌入内容的整个目的,基本上要求用户在使用站点上的小部件之前,先在第一方上下文中访问服务。优德88备用网

ITP 1.0和1.1版本的可能解决方法

为了解决ITP 1.0和1.1版本所带来的限制问题,一些出版商(在他们的AdTech合作伙伴的指导下)实施了一个通过在内部url中添加一个唯一的查询字符串参数(又名重定向脚本)来解决这个问题这样,当用户点击出版商网页上的内部链接时,他们首先会被引导到AdTech供应商的域名,然后再转到目标URL。

AdTech公司实施了智能跟踪预防(ITP)的解决方案
查询字符串参数——ITP的一个可能的解决方法

这意味着用户经常“访问”AdTech平台的域,这意味着他们的第一方cookie能够在24小时窗口后避免被清除(删除),并继续作为跟踪cookie发挥作用。

然而,智能跟踪预防2.0完全取消了这一24小时窗口,这意味着如果一个域被认为具有跟踪能力,那么它就不能在第三方环境中使用,除非用户通过存储访问API同意。

智能跟踪预防(ITP) 2.0

2018年6月发布的ITP引入了其他两项主要内容,严重影响了报告、联盟营销和归因技术——比以前更严重。

取消24小时cookie访问窗口

如前所述,ITP 1.0和1.1允许在第三方上下文中读取和使用cookie,前提是用户在最初24小时内直接访问域。

有了ITP 2.0,这就不可能了——24小时宽限期被取消了。

在Safari上,网站不能再在用户的浏览器中留下cookie,以便以后重新定位和归因。这将影响在第三方上下文中访问第一方cookie的公司,从而影响报告能力和准确性。

缺少cookie访问窗口与存储访问API的用户提示有关。

提示存储访问API

ITP的下一个主要变化是引入了存储访问API提示。

像Facebook这样的网站通常允许用户在多个网站上登录自己的账户,以便更容易地评论或点赞第三方网站上的内容。最初,ITP 1.1允许内嵌内容访问存储在第三方域中的cookie,而不显示用户提示—只要内容提供者遵循一定的规则

ITP 2.0现在检测这种跨站点跟踪并对cookie进行分区,消除了在第三方上下文中使用cookie的能力(例如用于跟踪)。这是对那些为之前的版本创造了变通方法的公司的间接抨击,以及像Facebook和谷歌这样的“围墙花园”,限制了他们的跟踪可能性,并对使用此类评论或点赞小工具的网站的用户体验产生了负面影响。

支持点赞和分享(比如Facebook)的第三方嵌入式小部件现在必须在用户在不同网站上与他们交互时请求访问他们的第一方cookie。这通常通过显示如下所示的同意框来完成:

同意的盒子

下面是一个例子:


需要注意的是,除了子域名外,用户访问的每个包含嵌入Facebook小部件的网站都会显示此提示;例如,如果他们之前在example.com上选择了“允许”,他们就不会在video.example.com上看到提示。

如果用户在30天后不再与Facebook互动(无论是通过facebook.com还是通过其嵌入的小工具),他们的cookie将被清除。

防止第一方反弹跟踪

ITP 2.0的另一个特性是,当一个域被专门用作“第一方反弹跟踪器”时,它能够检测出来,这意味着它从未被用作内容提供者,而只是通过一系列快速的导航重定向来跟踪用户。

当用户点击社交媒体上的一个链接时,第一方反弹追踪器就会工作,然后它会迅速打开一系列反弹追踪器,而不是直接把用户带到目的地。

创建这样的跟踪器域的唯一目的是在第一方存储和cookie中存储有关用户浏览历史的信息。ITP 2.0检测这种行为,并像其他跟踪器一样处理这些域(通过清除它们)。

防止追踪器串通

防止跟踪器串通识别重定向仅用于跟踪目的,即用于承载和cookie同步。可以把它想象成这样一种情况:许多跟踪器进行通信,交换关于用户行为的信息。

ITP 2.0通过一种称为勾结图并将重定向中涉及的所有域分类为跟踪器。

这一功能可以防止cookies在重定向过程中在用户浏览器上被删除或读取,这会对联盟营销和AdTech平台之间的数据共享产生负面影响。我们在下面列出了一些可能的解决方案

针对跟踪器勾结的保护可以防止cookie在重定向期间被删除或在用户浏览器上读取
追踪勾结。改编自原始来源:webkit.org

没有用户交互的域的仅来源引用

ITP 2.0的这一新功能去掉了引用URL域,即用户当前所在的URL,当传递给第三方跟踪器时——例如,当用户访问一个包含第三方跟踪器(如广告)的网站时,引用者信息被传递给这些第三方。

下面是一个例子:

在ITP 2.0之前= https://ecommercestore.com/clothes/mens/business/shoes

国际旅游业伙伴关系后2.0= https://ecommercestore.com/

与以前相比,第三方追踪器现在掌握的用户信息更少了,但这一变化并不限制通过URL传递到广告商网站的数据,如果用户点击了他们的广告。

ITP 2.0的可能解决方案和变通办法

虽然ITP 2.0对大多数独立的AdTech和MarTech公司来说是个坏消息,但供应商可以做几件事来限制它的负面影响。主要的解决方案是使用服务器到服务器的转换和事件跟踪。

为了导航ITP, Facebook和谷歌想出了一些解决方案——谷歌发布了一个站点范围内的标签帮助广告商继续衡量转化率,Facebook发布了一份自身的饼干选项

智能跟踪预防(ITP

2019年2月21日,苹果发布了一篇博文声明新版本的智能跟踪预防(2.1)将在macOS High Sierra和Mojave上的iOS 12.2和Safari 12.1的beta版本中可用。

2.1国际旅游业伙伴关系这样一来,当用户在Safari上浏览互联网时,追踪器就更难在整个网络上识别和跟踪用户。

以下是最新版本的ITP的主要改动:

cookie设置客户端7天过期

cookie可以通过两种方式设置:通过服务器HTTP响应(服务器端)或通过JavaScript的文档。饼干API(客户端)。

通过JS文档创建的cookie。cookie API(即使是第一方cookie)将被设置为在7天内过期,而不管它们现有的过期日期。通过JavaScript创建的cookie将能够访问通过HTTP响应创建的cookie,只要它们不包含HttpOnly属性。

这将极大地影响许多MarTech工具,如谷歌Analytics,其cookie是通过谷歌Analytics JavaScript库设置的。GA在Safari中设置的cookie将在7天后过期,除非cookie在7天内更新或实现了一个工作区(下面将详细介绍)。

存储访问API为所有类型的Cookie访问

在ITP 2.0中,跨域跟踪器可以将cookie分区,这样网站就可以在不跟踪用户的情况下使用这些cookie。例如,网站上的社交媒体登录表单的cookie将被分区,因此它们仍然可以工作,但无法跟踪用户或建立有关用户的资料。

如果社交媒体登录表单想要访问它的分区cookie来跟踪用户,它就必须使用存储访问API并获得用户的同意。

这一切在ITP 2.1中都有所改变;所有被识别为具有跟踪能力的域都需要使用存储访问API来访问任何类型的cookie。例如,如果用户想用他们的Facebook账户登录一个网站,他们首先必须通过存储访问API同意。

删除了对DNT(禁止跟踪)的支持

苹果还取消了对“禁止追踪”(DNT)信号的支持,理由是许多网站(和软件供应商)选择不尊重用户设置的“禁止追踪”决定,而是选择跟踪用户。

这个决定对Safari用户的隐私几乎没有影响,因为ITP提供了比DNT更先进的隐私保护和反跟踪措施。

验证缓存分区

ITP 2.1还引入了所谓的经过验证的分区缓存。实际上,WebKit团队注意到一些跟踪器为ITP实现了变通方法,其中之一是分区缓存滥用。

作为响应,当具有跟踪功能的域创建分区缓存条目时,将对其进行标记以进行验证。然后,如果这个条目在7天后缓存命中,它将被再次加载。如果新的响应与原始缓存的响应匹配,则清除它。如果没有,原始条目将被丢弃,新的验证过程将从新的条目开始。

智能跟踪防范2.2

2019年4月24日,WebKit宣布智能跟踪预防的新版本(ITP 2.2)将与iOS 12.3和macOS Mojave 10.14.5上的Safari测试版一起发布。

新版本在ITP 2.1发布2个月后发布,针对的是一种特定类型的跟踪——带链接装饰的跨域跟踪。

通过链接装饰设置的跟踪cookie过期1天

ITP 2.2的主要目标是通过链接装饰来限制跨站点跟踪。

链接装饰是AdTech (dsp, ssp等)和MarTech(网络分析,归因工具等)平台使用第一方cookie跨不同域对点击,访问和转换(购买,下载等)进行归因的一种技术。

下面是一个装饰链接的例子:

https://www.example.com?utm_source=googleads&utm_medium=cpc&utm_campaign=summer-promotion

之后的信息呢?被称为字符串查询,它由参数(例如medium=)组成。另一种形式的链接装饰使用片段标识符,它由散列(#)引入。

这个链接将帮助出版商(example.com)确定哪些访问他们的网站来自这个来源,在这种情况下是谷歌广告上的付费广告活动。

这只是链接装饰的一个例子,在本例中,它没有识别或跟踪点击它的用户。

然而,链接装饰的其他用途主要是通过在URL中传递唯一的用户ID来跟踪用户。下面是一个例子:

https://www.example.com?clickID=akl872

在这种情况下,用户会点击一个广告或一个链接(例如一个附属链接),然后重定向到一个example.com

需要注意的是,为了让这个点击ID被广告平台记录下来,目标网站上必须有一些JavaScript标签,允许广告平台收集ID并创建第一方cookie。

然后,当用户再次访问同一网站时,JS标签将被加载,第一方cookie将被识别。这就是包括谷歌和Facebook在内的广告技术平台能够衡量转化率的方式。

当用户从一个网站移动到另一个网站时,这个clickID可以用来识别和跟踪用户。而这正是ITP 2.2旨在防止的。

接下来,通过JavaScript的文档创建的所有持久性cookie。Cookie将在24小时内过期参考域已被识别为具有跨站点跟踪功能而且URL包含查询字符串或片段标识符

下面是一个例子:

通过链接装饰说明1天过期的跟踪cookie设置的图像

如果URL不包含查询字符串或片段标识符,也没有被分类为具有跨站点跟踪功能,则document创建的任何第一方cookie。cookie将在7天内过期(如上在ITP 2.1部分所述)。

这对那些想要测量网站访问量和广告点击量的发行商来说影响不大,因为这些信息只在用户访问他们的页面时收集和记录一次(下一节将详细介绍),但如果转换发生在24小时窗口之外,则会严重影响转换和多点触控归因。

智能跟踪防范2.3

2019年9月23日,WebKit发布了ITP 2.3。

新发布的版本延续了苹果与广告科技公司之间的猫鼠游戏。

打击通过链接装饰跟踪

ITP 2.2的一个主要特征是对链接装饰所创建的cookie的限制。

如上所述,如果一个网页访问者访问一个网页包含一个装饰链接(例如。https://www.example.com?utm_source=googleads&utm_medium=cpc&utm_campaign=summer-promotion),那么由于访问而创建的任何第一方cookie(通过JavaScript的document.cookie)将被设置为24小时内过期,前提是引用的URL已被归类为跟踪域。

作为回应,一些AdTech和MarTech公司创造了一个变通方案,他们利用浏览器的本地存储,而不是创建第一方cookie。

localStorage是什么?这篇文章很好地回答了这个问题和其他问题。

这使得AdTech和MarTech平台可以存储数据——与cookie存储的数据类型相同,比如点击id——而不必担心数据过期;localStorage数据通常没有过期数据。

然而,ITP 2.3现在对所有非cookie存储数据设置了7天的限制,包括localStorage。

好消息是,如果用户在7天内与网站进行交互,那么过期日期将被重置,允许数据在浏览器的本地存储中再保留7天。

此外,这种类型的数据的7天有效期比第一方cookie从相同的过程中获得的1天有效期要好得多——例如,第一方cookie是通过document.cookie创建的分类跟踪器的装饰链接创建的。

然而,不可能排除更改这个到期日的可能性。未来的ITP更新可能会对满足上述条件的非cookie存储设置1天的有效期。

改变document.referrer

ITP 2.3还对document.referrer进行了一些修改。

以前,一些网站和平台会装饰他们自己的URL,而不是URL的目的页面。这允许他们通过文档读取跟踪ID。目标页上的Referrer。

下面是WebKit提供的一个referrer的例子:

https://sub.social.example/some/path/?clickID=0123456789

现在,当网站通过文档请求从URL检索clickID时。Referrer,只有顶级域信息将被传递-即social.example。

ITP 2.3的发布。还包括:

  • 对存储访问API的更改。
  • macOS Catalina的ITP调试模式。
  • 为了安全,建议使用HttpOnly cookie(但不能通过JavaScript读取)。

ITP 2.3可在Safari上的iOS 13、iPadOS beta版和Safari 13 macOS上的Catalina、Mojave和High Sierra上使用。

需要处理智能跟踪预防的帮助吗?

安排一个与我们的开发团队的电话,了解我们如何帮助您的AdTech或MarTech平台进行ITP

88w88

免费广告技术和MarTech资源w88优德中文

成千上万的c级高管、软件工程师、营销人员和广告商都通过我们的双月刊通讯了解了AdTech和MarTech的内部运作方式——你也可以!今天就订阅,获取最新最好的文章、视频和指南!