Обсуждение: что если работать без cookies — рассказываем, какие есть альтернативы

[vmchaz]

Похоже, при распространении таких систем единственный вариант — это продвигать уход от JS и любого исполнения недоверенного кода на стороне клиента.
Потребуются какие-то другие стандарты для таких действий, как подгрузка превью и комментариев, а выполнение JS должно быть доступно для тех сайтов, где без этого никак (например, онлайн-редакторы документов и т.д.)

[mapcuk]

Это решение остаётся за администратором ресурса, даже если ему навязать JS-free стандарт, он может трекать посетителей сам и предоставит RTB-аукциону данные по пользователем, если каждый показ сможет продать подороже. Если дальше закручивать гайки, то аукцион "уйдёт" на backend, наверное.
Ну и как сказано в статье и без JS можно трекать по Etag, по поведению (смотреть referer), в целом по заголовкам (User-Agent) и в конце концов по IP.
И чем мешает JS (кроме как может использовать ваш CPU для майнинга :) но и это блокируют)?
fingerprinting тоже научились обходить, вроде бы браузер отдаёт данные хаотично, чтоб отпечаток был разный.

По мне уже блокировка 3rd-party кук серьёзно подрежет возможности трекинга.

Что по внедрению JS от всяких disqus или google analytics, то вроде как есть тренд на переход на свои решения или self-hosted альтернативы. Потому что любой внешний запрос на сайте можно монетизировать (опять же для трекинга).

[vp7]

Поезд уже, к сожалению, ушёл.
Есть множество фреймворков с рендерингом данных на стороне клиента — т.е. вам передаётся набор шаблонов + набор данных, а ваш браузер из этого компота строит web страницу.
Она даже может быть просто статичной страничкой, без интерактивного воздействия с пользователем, но всё-равно с отклбченными JS работать не будет.

Таких сайтов уже крайне много и процесс перехода займёт неопределённое время.

[vmchaz]

Скрипты для таких фреймворком можно сделать «доверенными». Сделать для браузера реестр доверенных фреймворков по аналогии с дополнениями.
Смысл в том, чтобы:
1. Из существующих рендерящих движков данные никуда не утекали (что можно подтвердить через аудит кода)
2. Автор фреймворка не мог просто так добавить шпионящий функционал с обновлением.

[apapacy]

Я не обладаю юридическими знаниями в чтобы делать выводы по новым правилам. Но если они зациклилась на cookie то они немного наивны. Т.к. супер корпорации типа google в настоящее время могут определить клиента например по его почерку работы с мышью. Или даже по почерку работы с клавой имеется в виду время междунажатиями клавиш.

[funca]

Интересно к чему приведут все эти ограничения в эпоху тотального HTTPS? Здесь трекинг (session id, token) заложен на уровне протокола.

[pae174]

В статье имеется в виду трекинг Васи Пупкина вне зависимости от того, с каких машин и на какие ресурсы он заходит. Что бы можно было знать, что две недели назад Вася с рабочего компьютера интересовался курсами по 1С, потом две недели отдыхал в стране третьего мира и там зачем-то с нетбука искал таблетки от желудочных инфекций (но не нашёл). И вот теперь, когда Вася вернулся из отпуска и зашел в любимый бложик с домашнего ноута, мы насыпем ему рекламы про таблетки, про курсы и про хостинг для фоточек и про вакансии по 1С в его регионе (а в следующий раз еще слегка поднимем ему цены на билеты — специально для него).

Никакой такой session id в HTTPS эту задачу не решает.

[funca]

Есть возможность затрекать последовательность запросов к одному сайту и это уже неплохо. Условный скрипт google analytics подключен на миллионах сайтов. Добавить сюда же CDN, скрипты соц сетей и т.п Если вы владеете ключевыми ресурсами, то у вас неплохие шансы — для идентификации достаточно, чтобы пользователь был деанонимзирован на любом из ресурсов. Чем не глобальный трекинг?

[pae174]

Без кукисов или любой подобной технологии эти ключевые ресурсы могут только сопоставить между собой разные сессии на разных ресурсах только если они активны прямо сейчас и инициированы одним и тем же процессом (и при этом в браузере нет какой-нибудь песочницы, которая не дает одному сайту повторно использовать соединения, открытые ради того же хоста но уже в соседней вкладке).

В общем и целом: особенности протоколов транспортного и сеансового уровней никак не заменят вам особенностей протоколов прикладного уровня.

[funca]

Активные соединения не такая уж проблема даже штатными средствами. У людей по 100500 открытых вкладок, в современных браузерах есть всевозможные workers. Я не утверждаю, что https это панацея. Просто он даёт немало возможностей прямо из коробки. В принципе ведь и те же куки можно отключить или ходить каким-нибудь lynks. Но так мало кто делает (а значит это тоже возможность для идентификации).

[ZEvS_Poisk]

КДПВ испугает не одну нейросеть. :)

[Zibx]

Весь мир сошел с ума. Я зашел на сайт GDPR. Там перешел в раздел «партнёры». На сайтах обоих партнёров мне насыпали ведро кук и не предупредили об их использовании. Почти все коробочные бэкэнд решения выставляют куки. Многие прокси сервера доставляют. И вообще ничто не мешает не ставить новые, а использовать связку с теми уникальными айдишками и хоть обследиться.
Куки появились на заре развития интернета и они уже здорово ограничены размером в 4кб. Забавно, но про кэширование статики никто пользователя не предупреждает, а она может сожрать намного больше места на диске (изначально до GDPR боролись с тем что сайты пишут без спросу данные на пользовательские компьютеры) и по кэшу тоже можно отлично отслеживать, да точность снизится и разработчикам будет нужно навернуть костылей (проверять что юзер запросил только хэдеры, но не выкачивал тело) на бэкэнд, но когда это останавливало капитал?
Каждый европейский сайт теперь пугает посетителей плашкой о страшных куках — на мой взгляд стало хуже ровно на один попап для каждого нового ресурса, вместо этой борьбы с ветряными мельницами — лучше бы в школах рассказали что такое куки и зачем\как на самом деле порубить их у себя локально.

[vp7]

Законодатели совершили классическую ошибку — попытались разъяснить логику и цель закона в технических терминах с названиями технологий. В ответ бизнес просто чуть-чуть изменил технологии и ушел из-под действия закона ;(

[dmitryklerik]

Если бы они реально хотели бороться с трекингом пользователем они бы давно пришли с обысками в гугл, фейсбук, твиттер, ютуб и т.д.

А запрет на куки без разрешения только помогает крупным компаниями, каждый хоть раз бывал на их сайтах и получал куку в браузер

[vmchaz]

Подо всё это нужно менять технологии, в первую очередь. Кроссайтовое взаимодействие (когда в любом блоге есть скрипты от фейсбука, вконтакта, гугла, твиттера и прочих) должно быть очень сильно ограничено.
Реферреры — убраны как явление.
Куки — у каждого браузера должен быть список сайтов, которым позволено их сохранять, и кнопка сверху: «Сохранять куки от этого сайта / отозвать разрешение» (но только не всплывающее уведомление, как это было в старой опере 10-й версии)
Ну и с кэшированием содержимого придётся что-то делать: полная анонимность потребует куда большего расхода трафика.

Так что никаких обысков не надо. А вот поумерить пыл гугла в протаскивании разных удобных ему нововведений в стандарт — это бы надо, но пока не представляю, как это сделать.

[Revertis]

Только не жёстко: разрешить/запретить куки, а выставить время их сохранения.
Например, если я захожу на неизвестный сайт, я хочу, чтобы всё работало, но чтобы через 30 минут обо мне забыли.
Сейчас я этого добиваюсь расширением для браузера, но если бы была встроенная фитча такая, было бы намного комфортнее.

[Darkhon]

у каждого браузера должен быть список сайтов, которым позволено их сохранять, и кнопка сверху: «Сохранять куки от этого сайта / отозвать разрешение»

В Firefox практически это есть

[savostin]

Т.е. до этого они просто меня идентифицировали как ID сессии, который я могу удалить/поменять/не принимать/взять у друга/придумать свой. И по этому ID можно только понять, что я уже был на этом сайте, но не кто и какой я. А теперь они собирают ВСЮ информацию обо мне? И это типа лучше с точки зрения защиты личной информации? Где-то тут на*бка, не кажется?

[Revertis]

Ну да, и собирают всю вашу историю серфинга, если вы про гугл-анал и т.п.