Piškotki, spet
Google v Chromu že leta napoveduje konec zunanjih piškotkov, ki jih obiskane strani strežejo z drugih domen. Prihodnje leto se bo načrt vendarle začel odvijati, a za lepimi besedami o več zasebnosti in ščitenju uporabnikov je nova tehnologija, ki bo Google še bolj ustoličila kot vladarja oglasnega prostora na spletu.
Internet je že zdavnaj izgubil romantičnost poznih 80. in 90. let ter postal povsem običajen posel. To med drugim pomeni tudi, da sicer obstajajo standardi – denimo za splet, elektronsko pošto in ostale storitve –, a hkrati obstajajo tudi tehnološki giganti. Med brskalniki je to Google, saj ima njegov Chrome približno dvotretjinski tržni delež. Zategadelj si Google včasih zamisli kakšno nestandardno rešitev, ki jo potem s stisnjenimi zobmi sprejmejo tudi ostali brskalniki, s čimer postane vsaj de facto standard, nemalokrat pa kasneje tudi čisto uraden. V sosednjem članku pišemo, kako se je Google odločil za novi Manifest v3 za razširitve, kar je na koncu v Firefox sprejela tudi Mozilla. Nihče si ne more privoščiti ostati zadaj in ne podpreti funkcionalnosti, ki jih uvaja nesporni vladar. A to pot je zgodba obrnjena, saj Google sledi konkurenci, dasiravno iz zelo pragmatičnih razlogov.
Sprememba v Chromu, ki se napoveduje za leto 2024, je odnos do piškotkov. Za obveščenost splošne javnosti o njihovem obstoju je največ naredila Evropska unija, ki je s strogo zakonodajo poskrbela, da večina spletnih strani ob (prvem) obisku zahteva soglasje za uporabo piškotkov. Zdi se, kakor da takšna ureditev velja že celo večnost, in to pravzaprav ni daleč od resnice. Že spremembe direktive o zasebnosti in elektronskih komunikacijah, ki so začele veljati davnega leta 2011, so uvedle obvezno informirano soglasje. Kasnejša zakonodaja, denimo GDPR (Splošna uredba o varstvu podatkov), je pravila igre še zaostrila. Tudi najnovejša sprememba v obravnavi piškotkov je vsaj delno posledica GDPR.
Medtem ko je bil namen plemenit, so mnenja o izvedbi deljena. Strani so z iskanjem soglasij tako vztrajne, da bi jih težko šteli kot informirana, ker jih brez njih težko uporabljamo. Možnost odklonitve nebistvenih piškotkov pa je običajno zakopana nekam v globino ali pa je vsaj vizualno precej manj očitna, zato se je mnogo uporabnikov sprijaznilo s stanjem in preprosto dovolijo vse piškotke. Redkeje uporabljajo orodja, ki redno brišejo piškotke ali kako drugače omejujejo njihovo razraščanje po brskalniku.
Iz prve in tretje roke
V letošnjem prvem četrtletju bo Google začel ukinjati zunanje piškotke, ki jih strežejo tretje strani (third-party cookies). Sprva se bodo eksperimenta lotili previdno, saj bodo novost uvedli le pri odstotku uporabnikov. To se sliši malo, a pri več kot treh milijardah uporabnikov Chroma vendarle ni zanemarljivo – gre za 30 milijonov uporabnikov. Večjih zapletov ni pričakovati, saj tudi konkurenca, denimo Applov Safari, Brave in Mozillin Firefox, že blokirajo tovrstne piškotke. Sprememba v Chromu se takisto napoveduje že leta in je kot neprivzeta možnost že na voljo, zdaj pa je čas vendarle dozorel še za integracijo. Google je sredi lanskega leta predstavil tehnične podrobnosti, kar so zlasti razvijalci in oglaševalci nestrpno pričakovali, saj bo nanje pomembno vplivala.
Delovanje piškotov za sledenje in oglaševanje med različnimi stranmi.
Piškotki so tehnično gledano pari podatkov ključ – vrednost, ki jih uporabnikom strežejo spletne strani in nato tudi berejo. Ko se odpravimo na spletno stran in se prijavimo, nam stran podeli piškotek. Tako nas ob naslednjem obisku prepozna, da se nam ni treba vedno znova prijavljati. Tudi če se ne prijavimo, spletne strani pogosto delijo piškotke, saj ti uporabniku omogočajo prilagajanje strani ali pa zgolj strani omogočajo boljši pregled nad unikatnimi obiskovalci in vodenje statistike. Kakorkoli obračamo in navajamo njihove prednosti, piškotki imajo en sam glavni namen – sledenje (tracking). Ob tem pa si ne smemo delati utvar, da brez piškotkov sledenje ni mogoče, saj že s samimi nastavitvami brskalnika in sistema, z IP-naslovom, vedenjem na strani in ostalimi parametri puščamo za seboj zelo edinstveno sled.
Če piškotek izvira s strani, ki jo obiskujemo, ni s tem načelno nič narobe (first-party cookie). Precej bolj problematični pa so piškotki zunanjih domen oziroma tretjih strani (third-party cookie). Te nam ob obisku spletne strani podelijo druge strani, do katerih elemente kliče obiskana stran. Če ima torej spletna stran element, ki domuje na domeni facebook.com ali google.com (denimo za analitiko), nam ta lahko dodeli piškotek. To ni skrivno podtikanje, saj se zgodi vsakokrat, ko si na neki spletni strani ogledamo videoposnetek z Youtuba, ki je vanjo vstavljen (embedded). Youtube zato ob naslednjem obisku ve, kaj smo gledali drugod, in nam predlaga podobne posnetke. Po GDPR morajo spletne strani vprašati, ali smejo deliti piškotke od drugod.
Osebni sledilnik
Piškotki tretjih strani so razlog, da nam oglasi sledijo po internetu. Ker več strani uporablja iste oglaševalske platforme, imajo te dober pregled nad našimi interesi in dejavnostmi. Po nakupu avtomobilskih pnevmatik v spletni trgovini bomo zato tudi na drugih straneh še dneve gledali reklame za pnevmatike. Tudi druge strani bodo namreč uporabljale zunanje piškotke z iste domene, ki jih bodo v našem brskalniku prepoznale, zato bodo stregle usklajene oglase.
Tovrstni piškotki niso nujno slabi, vseeno pa vzbujajo več pomislekov in jih je mogoče tudi zlorabljati. Predvsem pa niso nujni za delovanje spletne strani, zato se marsikdo upravičeno sprašuje o njihovi smiselnosti ali vsaj dopustnosti. Lahko se zgodi, da brez njih ne delujejo elementi za neposredno deljenje članka na družbenih omrežjih, da gledamo generične oglase ali ne moremo spremljati vgrajenih vsebin z družbenih omrežij (denimo objav s Facebooka), a to bi težko šteli kot ključni del funkcionalnosti strani.
Namesto piškotkov peskovnik
Google je slovo od piškotkov tretjih strani napovedal januarja 2020 in postavil rok v letu 2022, a se je ta seveda odmikal in odmikal. Leto 2024 naj bi bilo leto, ko bodo v to kislo jabolko vendarle zagrizli. Tako dolgo ni trajalo, ker bi bil to tehnično zapleten ukrep – kakršnekoli piškotke lahko kadarkoli pobrišemo ali začnemo blokirati –, temveč zato, ker je Google v prvi vrsti ponudnik oglasnega prostora. Ukinitev zunanjih piškotkov tako sovpada z uvedbo tehnologije Privacy Sandbox, kar predstavlja pomembno spremembo.
Privacy Sandbox je iniciativa in jo vodi Google za vzpostavitev sistema, ki bi omogočil dostop do podatkov o uporabniku brez vdora v njegovo zasebnost. Cilj je seveda zagotoviti obstoj spletnega oglaševanja, ki je, kolikor je to mogoče, ciljano, a še vedno v skladu z GDPR. Če pri tem Google zase ulovi še kakšno strukturno prednost, je to zanj toliko bolje.
Ena izmed ključnih sestavin nove tehnologije je Topics API. Ta oglaševalcem omogoča, da pridobijo podatke o interesih obiskovalcev in jim nato pokažejo prilagojene reklame, ne da bi potrebovali svoje piškotke. Ključno je agregiranje podatkov, saj bodo imeli oglaševalci le informacijo o kohorti, ne pa posamezniku. Spletna stran bo torej lahko vprašala brskalnik, kaj uporabnika zanima, ne bo pa mogla vedeti, kdo to je. Verjetno je retorično vprašanje, kako pa bo to Chrome vedel. Ob tem poudarimo, da je Privacy Sandbox v Chromu mogoče izklopiti, a to ni najbolj očitno (Settings / Privacy & Security / Ad Privacy in nato izklop vseh treh možnosti).
Chrome.png Nove različice Chroma bodo podpirale Privacy Sandbox, ki pa ga je mogoče izključiti.
V Privacy Sandboxu so še drugi API, denimo Attribution Reporting API, Fenced Frames API, Protected Audience API in Shared Storage API, ki so namenjeni dodatnim funkcijam za zaščito obiskovalca (denimo prikaz oglasov v ločenem delu strani, ki ne more interagirati z ostalimi elementi).
Googlov inženir Johann Hofmann je dejal, da bosta ukinitev zunanjih piškotkov in uvedba specializiranih API eni največjih sprememb na platformi v zadnjem času. Dogajanje zato pozorno spremljajo tako oglaševalci kakor tudi regulatorji, ki jih skrbi že sedanja Googlova premoč. Google je druga največja oglaševalska platforma na spletu, ki le malce zaostaja za Facebookom, hkrati pa ponudnik najpopularnejšega brskalnika. Če bi takšno kombinirano moč zlorabil, da bi onesposobil konkurenčne oglaševalske platforme, bi bila to kršitev protimonopolne zakonodaje. Google je moral zato ob uvedbi Privacy Sandboxa odgovoriti na nekaj pomislekov britanskega regulatorja (Competition and Markets Authority), medtem ko Evropska komisija po pritožbi konkurence vodi predhodno preiskavo. Strah je namreč upravičen: s Privacy Sandboxom bodo imeli oglaševalci precej manj podatkov o obiskovalcih spletnih strani, Google pa še vedno enako mnogo, ker so uporabniki Chroma pač množično vpisani v brskalnik. To ni neutemeljen pomislek, čeprav sta Safari in Firefox zunanje piškotke že ukinila. Chrome je pač neprimerljivo večji.
Svet, kjer bodo ukinjeni vsi piškotki tretjih strani, je sicer še precej daleč. Google bo pospešil ukinjanje v tretjem kvartalu tega leta, a nikjer niso zapisali roka za 100-odstotno migracijo. To se bo zgodilo najbolj zgodaj leta 2025, morda pa še pozneje. Razlogi so tudi povsem legitimni, saj je eno ukiniti piškotke z zunanjih domen, drugo pa je definirati, kaj vse sodi k zadnjim prek strani (cross-site tracking). V marsikaterem primeru je to povsem legitimno, denimo prijava v Salesforceove storitve prek Microsoftove infrastrukture (Teams), česar ne smemo pokvariti z blokado piškotkov.
A v splošnem so tudi zagovorniki zasebnosti, denimo Electronic Frontier Foundation, pozitivno sprejeli ukinitev zunanjih piškotkov. Njihov izvedenec za nove tehnologije Jacob Hoffman-Andrews je dejal, da bo dan, ko bo Chrome dokončno izkoreninil te piškotke, odličen dan za zasebnost na internetu. Žal je med vsemi brskalniki Chrome najmanj spoštljiv do naše zasebnosti, dodaja Peter Snyder iz Brave, kjer razvijajo konkurenčni brskalnik. Ostali brskalniki so na tem področju bistveno dlje, Google pa to pot caplja za njimi in se trudi storiti čim manj, saj ne želi ogroziti svojega oglaševalskega imperija, ki nosi milijarde.
Ostali brskalniki na pogonu Chromium se seveda lahko odločijo po svoje. Microsoft je že dejal, da v Edgeu preizkuša nekaj tehnologije iz Privacy Sandboxa, a še ni sprejel odločitve, ali jo bodo naposled v celoti uvedli.
Kaj pa oglaševalci
Oglaševalci se bodo morali na Privacy Sandbox prej ali slej privaditi, saj bo stari koncept zunanjih piškotkov pokopan. A obstajajo tudi alternative. Še vedno bodo ostali piškotki obiskanih strani (first-party cookies) in podatki, ki jih strani zberejo o uporabniku. Oglaševanje na istih straneh bo lahko še vedno uporabljalo to informacijo.
Druga možnost je ciljanje po kontekstu (contextual targeting). Četudi oglaševalec ne ve, kdo gleda neko stran, pa lahko marsikaj o demografiji sklepa iz informacije, katero spletno stran gleda, torej kje se njegov oglas pojavlja. Na neki način se vračajo reklamne pasice, a le v konceptu. Oglaševalci bodo lahko oglase ciljno usmerjali glede na domeno, spletno stran, članek, ključne besede na strani in podobno. Taki oglasi so lahko celo bolj relevantni, saj bo odpadlo neumno prikazovanje oglasov za avtomobilske pnevmatike po celem internetu še tri tedne zatem, ko smo svojega jeklenega konjička že zdavnaj preobuli.
Tretja možnost je najbolj zapletena, a tudi najbolj temeljita. Na vsaki strani ob obisku puščamo »prstni odtis«, kamor sodijo podatki o napravi, nastavitve brskalnika (različica, nameščeni vtičniki) in operacijskega sistema (vse od jezika do ločljivosti zaslona in časovnega pasu) itd. Taki »prstni odtisi« so v resnici precej bolj natančni od piškotkov.
Google torej poskuša na en mah povečati varnost oziroma zasebnost uporabnikov brskalnika, hkrati pa si zagotoviti še trdnejši primež oglaševalcev. Kot vsak močan igralec zato zasluži vsaj zelo podrobno gledanje pod prste, četudi bo rezultat za končnega uporabnika nemara pozitiven.
API, ki so del Privacy Sandboxa
• Topics – lokalno sledenje zgodovini brskanja brez zunanjih piškotkov, od koder se izluščijo interesi uporabnika.
• Protected Audience (Fledge) – streženje oglasov zainteresiranim skupinam.
• Attribution Reporting – podatki za povezovanje klikov na oglase ali ogledov s konverzijo (prodaja).
• Shared Storage – neomejen pisalni dostop med stranmi (cross-site) do lokalne hrambe pri uporabniku.
• Fenced Frames – varna vstavitev v spletno stran brez deljenja podatkov.
• Private Aggregation – ustvarjanje agregiranih poročil iz Private Audiencea in Shared Storagea.