谷歌试图杀死Cookie

2020年1月，谷歌Chrome官方博客发布一则重磅消息：

为提升用户隐私和安全，未来两年，谷歌将在Chrome浏览器上逐步淘汰第三方cookie。

对此，Chrome工程负责人Justin Schuh解释称，“用户对隐私权的要求变得更高，包括透明度、选择和控制自己数据的使用方式，web生态系统需要不断发展来满足这些日益增长的需求。“

此前，苹果、微软和Mozilla已经采取行动，纷纷禁用第三方cookie。

来自statista的数据表明，截至2019年12月，谷歌Chrome是全球最受欢迎的Web浏览器，市场份额遥遥领先，高达69%。

一位资深技术人士对笔者表示，“就安全性而言，我觉得这是一件好事。至少，我们的个人隐私或偏好不会那么容易被第三方获取。不过，对一些网络广告商而言，这可能少了一个很大的用户数据来源，它们可能面临业务或股价上的一些压力。“

谷歌的这一举动将引起一些数字营销人员的忧虑。更重要的是，任何拥有网站的人都会受到此举影响，包括品牌、代理商和出版商。因为长期以来，Cookies一直是数字营销生态系统的命脉。

《金融时报》评论谷歌此举，“为侵入性最强的互联网跟踪器敲响丧钟”。

短期内，营销人员将会失去“精准定位”许多客户的手段；从长远来看，数字营销人员必须找到一种更有持续性的解决方案，它对消费者而言更直接和个性化。

该技术人士说，“随着这样一个途径被堵住，短期之内，广告商的日子会受到一定影响，但是相信还会出现其他方式通过合法或非法手段收集用户数据。毕竟，这种攻防游戏会一直持续下去。”

在他看来，当今，用户的个性化数据是很多人工智能等技术的基础，用户数据变得越来越重要。

认识cookie

相信很多人都经历过这样的事：

打开浏览器，去京东或天猫搜索iPhone手机，然后当我们去某个新闻网站浏览科技信息时，网页上的广告就会给你推荐iPhone手机。你心中或许会产生疑问，“这个广告怎么这么准？它怎么知道我想买iPhone手机？”

别惊讶，广告之所以能“精准推荐”，Cookie在这个过程中发挥着举足轻重的作用。

那到底何为cookie？

百度百科解释为：Cookie，有时也用其复数形式Cookies。类型为“小型文本文件”，是某些网站为辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据（通常经过加密），由用户客户端计算机暂时或永久保存的信息。

从数字广告的角度看，第三方cookie被用来记录用户浏览网站的活动。这样，以后就可以专门针对该用户投放其感兴趣的广告。

举个例子，如果你访问电商平台并浏览任天堂Switch的游戏，你稍后可能会在其他网站上看到相关的视频游戏广告。

Cookie主要用于三个方面：

1. 会话状态管理，比如用户登录状态、购物车、游戏分数或其他需要记录的信息；
2. 个性化设置，比如用户自定义设置、主题等；
3. 浏览器行为跟踪，比如跟踪分析用户行为等

Cookie的问题

Cookie的问题在于个人信息的收集。

随着时间的发展，所有这些cookie都会收集有关个人的大量信息。然后，这些个人信息可以被合并到详细的数据库中。这些数据库不仅是对个人隐私的严重侵犯，而且如果遭到黑客入侵或公开泄露，还会带来更严重的安全风险。

对实施身份盗窃或假冒计划的犯罪分子来说，它们可是重要“宝藏”，存储着大量的个人信息。

上述资深技术人士称，“在HTML5本地存储相关技术出现前，Cookie是在客户端保存用户数据的唯一手段，但cookie本身有很多问题，比如大小限制、明文存储等。不过，其最大的问题还是安全性。很多的安全漏洞都是源于cookie被窃取。”

此外，第三方cookie也给政府机构跟踪个人活动带来另一种可能性。

2018年5年，《GDPR》在欧盟生效。该隐私保护法案旨在确保用户知晓公司在收集有关他们的数据，并让用户有机会同意共享这些数据。这要求公司在收集哪些信息以及为什么收集这些信息等问题上保持透明。个人有权访问自己的所有数据，并控制它们的访问和使用权限，甚至删除它们。

在《GDPR》生效后，许多网站都开始添加cookie通知。

然而，这并没有什么卵用。大多数情况下，人们只是下意识的点击“同意”并继续访问网站。

据悉，麻省理工学院、伦敦大学学院和奥胡斯大学的研究人员对cookie的使用进行了联合研究。他们分析了5家为英国前10000个网站使用的cookies提供CMP的公司。

许多网站都使用所谓的CMP征求同意来跟踪cookie

尽管欧盟隐私法律规定，必须告知、具体和自由提供Cookie的同意，但研究表明，只有11.8%的网站符合《GDPR》的最低要求。

我们看到，即使在法律的“大棒”下，Cookie在个人隐私方面依然没有很大改进。毕竟，它已经支撑了数字广告25年，无形中成为“一股不可动摇的力量”。

丧钟敲响

在数字营销生态系统中，如果有人能为cookie敲响“丧钟”，那非谷歌莫属。

现在，cookie丧钟已鸣。

在谷歌最新发布的Chrome 80稳定版中，cookie策略被调整。

据悉，在 Chrome 80 中，Chrome 会将没有声明 SameSite 值的 cookie 默认设置为SameSite=Lax。只有采用SameSite=None; Secure设置的 cookie 可以从外部访问，前提是通过安全连接（即 HTTPS）访问。

这个处理 cookie 文件方式的变化就是本次更新的第一项重大更改，它将改变以往用户隐私被滥用的现象，保证仅能通过 HTTPS 连接访问跨站 cookie。

除直接的安全优势外，明确声明跨站 cookie 还能提高透明度和用户选择。例如，浏览器可以为用户提供管理 cookie 时的精细控制，将仅可以在单个网站访问的 cookie 与可以在多个网站访问的 cookie 分开。

从技术角度，该技术人士表示，“在使用cookie记录用户登录的基本信息方面，随着微服务架构的流行，大家更倾向于采用token认证的方式，常见方案比如JWT；而在记录客户端数据方面，我们会更多的使用HTML5原生的一些技术，例如localStorage和sessionStorage等。”

写在最后：

除了浏览器厂商的自我改进，我们还可以使用一些工具保护隐私和安全，避免cookie跟踪。笔者使用了4款Chrome插件，分别是Privacy Badger（隐私獾）、Ghostery、HTTPS Everywhere和Cookie AutoDelete。