苹果公司在最新的iOS11里推出了一种可以屏蔽第三方cookies的服务,叫做Intelligent Tracking Prevention(智能反跟踪),简称ITP。只要你使用Safari浏览器,ITP就会帮你堵掉一部分跟踪你上网轨迹的记录。苹果公司标榜这项技术可以更好的保护用户隐私。
听着好像挺新奇,其实微软早就在Edge浏览器里加入了一个类似的叫做"Do Not Track"的服务,目的也是阻挡浏览记录跟踪。最早的时候,这个服务默认是打开的。后来微软把默认改成了“关闭”。再后来,微软收购了LinkedIn(LinkedIn有自己的跟踪业务)。
那么让我们来看看这个所谓的“跟踪”是怎么一回事。
现在的跟踪技术主要靠浏览器的cookies。Cookies是个啥我就不多说了,简单来说就是一个小文件,用来存放各种信息,例如浏览器信息,你访问过的网站等等。当你浏览某个网站的时候,这个网站就会就会在你的电脑/平板/手机上保存一个cookies。在商业跟踪模式里,最简单的cookies就是一段根据你的操作系统和浏览器生成的数字+子母的组合,全世界独一无二,用来标识你的身份。
一般的商业跟踪是这样的:
你在百度上搜了个"辣条",然后百度给了你个广告;接着你点击了这条广告来到淘宝,买了包辣条。这一系列操作里,在访问百度搜索的时候,百度给你发了个cookies;而淘宝的”成功购买“网页上嵌了百度的一段JavaScript,这段代码实际上是百度的一个重定向URL,可以说是一个带路党,让百度再去你的电脑上读一下那个cookies,这样百度就知道你不但点击了广告,还买了包辣条。这时候商家想看看自己在百度上的广告效果的如何,老板一查,某年某月某日某时,在北京市朝阳区某个小区IP多少邮政编码多少等等等等,有个用Safari浏览器的人点击了我在百度上的广告,并购买了我一包辣条。此处应当奖励百度一块钱。
除了搜索引擎和社交媒体本身作为第一方广告供应/跟踪服务商之外,还有一种第三方跟踪服务供应商。
比如,有一天老板想,百度这么不靠谱,我咋知道他有没有谎称有人点击了我的广告问我多要钱?得找个第三方的跟踪服务商来对比一下数据。于是老板找了个第三方跟踪服务提供商,给自己在百度上广告的链接URL里加了一段第三方的重定向代码,然后再在自己的“成功购买”页面上加上第三方跟踪代码。
于是现在的跟踪变成了这样:
你在百度上搜了个“辣条”,百度首先给你发了一个cookies A,并通过搜索给了你一条广告。你点击了这条广告,首先访问了第三方跟踪服务提供商的代理服务器。这个代理服务器虽然是“透明的”,你根本感觉不到,可它却给你存了另一个cookies B, 之后再把你引到了淘宝。现在你在淘宝上买了包辣条,淘宝在你结账后先让百度来舔了一下cookies A,然后又让第三方跟踪服务商来舔了一下cookies B。这时商家再去查百度和第三方跟踪服务商的数据发现两边都说你点击了一下百度的广告,然后又去买了包辣条,这就对上了。于是老板给百度一块钱,给第三方服务商两毛钱。
有人说了,你不要黑百度,百度很好的!我非常信任它,干嘛吃饱了撑的要多花两毛钱给第三方跟踪服务商?
并不是吃饱了撑的。因为第三方跟踪服务商不单帮你看着百度,还能帮你看着必应,微博,谷歌,雅虎,搜狐,等等等等。百度给你的数据只是百度的,如果你在很多广告渠道商那里做广告,当然想统一跟踪数据源,方便统计回报率,各种费用,预算等等。如果你专门雇个人帮你搜集各渠道商的数据整合分析,很可能要花更多的钱。这就是第三方跟踪服务商最大的作用。
说了那么多跟踪服务,现在回到主题,说说ITP如何防止跟踪。
用上面最简单的那个例子来说:你在百度上搜了“辣条”,百度给了你一个cookies A;广告把你带到淘宝,淘宝给了你一个cookies B。当你结账完毕,淘宝让百度来舔cookies A的时候,ITP介入了。ITP视百度的cookies A为第三方cookies(因为你当时在浏览淘宝网站, cookies B才是第一方的),只要你于24小时之内没有再次购买辣条,也没有上百度的网站(也就是说没有跟百度发生互动),你再逛淘宝的时候这个cookies A就会被ITP隔离(也就是说百度再来了也舔不着了);30天后,它会被彻底删掉,只要你以后不上百度,cookies A就永远的消失了。
可能有人要问了,既然要封杀第三方cookies,为什么还要留个24小时的窗口呢?其实虽然名为“智能反追踪”,其实ITP是无法分清第三方cookies的作用的。比如现在很流行的,"用QQ密码登录知乎”之类的,也是利用了cookies这个方便的工具。在ITP看来,你本来在逛知乎,然后突然登陆了一下微博,微博给你发了个cookies,保存了你成功登录微博的一段认证代码。当你以后再上知乎的时候,知乎就叫微博的认证程序过来看看cookies里存的这段代码合不合格。如果合格,OK,你直接上知乎,不用再输入密码啦。那么这种情况下的cookies该不该防呢?ITP搞不大清楚,先放你一马,24小时之内如果你不再访问知乎(知乎上的微博带路程序没启动),就把这个cookies隔离掉。所以隔天等你再想用微博账号登录知乎却发现不管用了,只好再去登录一下微博,重新存一个认证代码。
这么看来,ITP对商业广告跟踪踪的影响并不是很大嘛?一般人在点了广告的24小时之内完成了购买,一切都记录在案,有没有ITP根本没有关系嘛。其实不然。
现在的商业广告跟踪是有时效性的。例如百度的默认时效窗口是30天。也就是说,第一天你点击了广告,并于24小时之内购买了一包辣条,这算一次成功的“转换”(可以理解为把潜在客户转换成了真正的客户)。两天后辣条寄到了你一尝觉得好好吃,于是又订了一箱。百度认为你这次下单还是要归功于你两天前点击的那条广告,所以又给“转换记录”上添了一笔。你点击广告的记录会保留30天;直到30天之后,购买辣条的行为才彻底跟点击的广告无关。ITP在第一天之后就把百度的cookies隔离了;也就是说,点击广告的24小时之后,你的任何行为都跟踪不到了。
不过,ITP对于上面所说的第三方跟踪服务商来说是一道杀手锏;但是对于百度,或是国外对于谷歌,脸书,推特等等网站来说就不那么有效了。因为大部分人几乎每天都要登录这些网站,在这种情况下它们的cookies一直可以保持有效。
ITP的另外一个缺陷是无法防止第一和第三方网站交换cookies.当你于24小时内点击并购买辣条时,百度和淘宝可以交换cookies A和Cookies B并产生一对映射。以后你再访问淘宝购买辣条的时候,淘宝只要告诉百度你(cookies B)又来过就可以了。
而目前谷歌的应对措施是,为第三方跟踪服务供应商提供它自己的“标记”。当你点击谷歌上的辣条广告时,谷歌直接把你带去淘宝,并在你的网址后添加一个独特的数值(GCLID)。另一方面,谷歌的并行跟踪服务(Parallel Tracking)同时给第三方跟踪服务供应商(谷歌也有自己的跟踪服务叫Google Analytics,相对与谷歌搜索本身也算是第三方跟踪)发送一份同样的GCLID数值。淘宝每天把收集到的GCLID发给第三方跟踪服务供应商去做对比,这样第三方跟踪商不单知道你某日某时点击了谷歌的广告,而且还知道你在某日某时在淘宝商买了辣条。
区别于以上这种新跟踪模式,跟踪服务商还可以让商家在网页上添加特殊的JavaScript,用于将跟踪cookies写入商家自己的域名下,从而伪装成第一方cookies。具体流程如下图。
为什么一定要用JScript呢?因为普通HTML只能写在自己的域名下读写cookies;而JS则可以访问浏览器上其它域名下的cookies。于是这种方法的缺陷非常明显:用户的浏览器在执行商家网页上的JS时会提示用户;出于安全考虑,用户可能会禁止浏览器运行JS,导致商家网页也被屏蔽掉等问题。
对于商家来说,跟踪和分析用户行为直接关系到广告投放和投资回报,所以是营销的重要一环。对于Apple公司来说,他们的广告营销已经不成问题,只要开个新品发布会就会有一堆人跑来买,所以我们也很少见到Apple自己的广告(通信营运商不算)。ITP对于Apple本身的影响是微乎其微的。第一方广告运营渠道一直在不断提升跟踪能力,他们是不愿意见到ITP这样的产品的。所以现在各大营运商都在想办法排除ITP的影响,最容易想到的方法就是搜集用户更多资料,就算作为第三方的cookies失效,也能通过其它信息来跟踪用户的行为。而对于用户来说,ITP可以在一定程度商保护个人隐私,当然欢迎ITP这样的产品。
可能有些人还没有意识到商业营销跟踪已经发展到了什么程度。半年前有人在网上发了这么一个故事:有一天,A君想给侄女买个生日礼物,用手机在谷歌上搜索了附近的化妆品公司。下班后他跑到这间公司,买了一套化妆用品。出门之前,他随手拿起一个面霜看了一眼然后放下了。晚上在家上网的时候,A君发现所有网站跳出来的广告都是那个他随手拿起的面霜!
这里面涉及到了当前跟踪服务的好多个环节,包括跨平台跟踪(把手机和家里的电脑联系起来),个人定位(所有的导航都有这个功能;例如谷歌地图可以根据一个人的GPS位置和wifi信号强度判断他是否进入一家商店,并以store visit的形式记录在案),面部识别,等等。A君从开始搜索礼物到走出化妆品商店,所有行为都完完全全暴露在监控和跟踪之下。
iOS11推出后一个月内已经有40%的苹果用户完成了升级。但是根据某第三方跟踪服务商的数据来看,跟踪到的“转换”行为并没有明显的下降;不知道是因为ITP需要一段时间“学习”哪些cookies需要被隔离哪些不需要,还是这项技术根本就是个噱头,根本无法有效拦截第三方cookies。ITP的效果到底如何,还得花些时间继续观察。
(完)
