Ciemna strona ciasteczek czyli jak śledzą nas w sieci (działanie plików Cookie)

Kobieta jedząca ciasteczko

Jako, że pracowałem kiedyś w firmie ad-techowej, postanowiłem, że odświeżę sobie wiedzę na temat tego jak działają zautomatyzowane mechanizmy reklamowe w sieci. Mówi się na to “programmatic advertising” albo po prostu programmatic.

Za wyświetlaniem reklam stoi naprawdę ciekawa, momentami wręcz niesamowita technologia. Zapraszam do lektury części pierwszej - o tym jak śledzi się nas kiedy przeglądamy internet. Opowiem dlaczego są do tego potrzebne pliki cookie, które w tym roku kończą swój żywot we większości kluczowych przeglądarek.

Czym są pliki cookie

Zanim opowiem o tym jakie informacje są zbierane i magazynowane, krótki wstęp do tego czym są ciasteczka i czym różnią się ich typy.

Ciasteczka, z angielskiego “cookies” to określenie na informacje przechowywane w naszej przeglądarce. Początkowo służyły głównie do zapisywania informacji o sesji, na przykład, że jesteśmy zalogowani. Żeby przeglądarka wiedziała, że my to my, nawet jeżeli przechodzimy pomiędzy różnymi stronami, wychodzimy z niej i wracamy - gdzieś musi mieć zapisaną o tym informację.

Pliki cookie mogą być przechowywane nawet całe lata, mogą też wygasać wraz z zamknięciem przeglądarki - zależy jak je ustawimy. Mają ograniczoną ilość znaków, w uproszczonym założeniu około 4 tysięcy. Mało, dużo? Wystarczająco by napędzać potężny biznes reklamowy.

Czym różnią się first-party od third-party cookies

Jest jeszcze jedno ważne rozróżnienie, które dzisiaj będzie odgrywało ważną rolę. Ciasteczka dzielimy na takie, które tworzone i edytowane są przez domenę, na której się znajdujemy. Czyli na przykład ja bym mógł dodać ciasteczko na moim blogu, które zapamięta, że już u mnie byłeś (nie, nie robię tego). Takie ciasteczko to first-party cookie. To ciasteczko działa tylko na mojej domenie, nigdzie indziej (to ważne)

Często jest jednak tak, że na naszych stronach używamy zewnętrznych skryptów, które mają za zadanie obsługiwać analitykę, śledzić zachowania użytkowników, wyświetlać reklamy. Jeżeli wewnątrz takiego skryptu coś stworzy ciasteczko, to mimo że dzieje się to nadal na naszej witrynie będzie już ono third-party cookie.

Te drugie, już za niedługo zostaną uśmiercone. Czytaj do końca żeby dowiedzieć się dlaczego i jak bez nich poradzą sobie reklamodawcy.

Co obce skrypty ukrywają w ciasteczkach?

Słowo “ukrywają” nie jest przypadkowe - dane są zwykle szyfrowane, dla człowieka będą wyglądać jak zlepek losowych znaków.

Głównym zadaniem i “zaletą” (na pewno nie dla przeciętnego internauty) takich ciasteczek jest to, że dostęp do takiego stworzonego ciasteczka będzie mieć każda strona, która używa danego skryptu (a dokładniej - skryptu z danej domeny). To znaczy, że raz stworzone ciasteczko będzie “śledzić Cię” i pomagać reklamodawcom i reklamobiorcom tworzyć Twój profil.

Jak wygląda śledzenie w przeglądarce

Opiszę tutaj uproszczony mechanizm, ale zawierający najważniejsze aspekty tego co się dzieje kiedy wchodzimy na stronę korzystającą z jednego lub wielu narzędzi śledzących na potrzeby reklam.

  1. Wchodzisz na stronę “Ostre kosiarki”, która korzysta z narzędzi “SuperReklama”. Podczas wczytywania się strony, ładuje się też skrypt, który tworzy ciasteczko z Twoim unikatowym identyfikatorem (o ile go jeszcze nie ma).
  2. Chwilę później ten identyfikator jest wysyłany na serwery twórców skryptu. Razem z nim trafi tam garść informacji na Twój temat - na przykład to, że potencjalnie chcesz kupić kosiarkę. Albo, że prawie na pewno kupisz kosiarkę (bo spędziłeś na tej stronie już 30 minut i oglądałeś 10 produktów). Zacznie się też zgadywanie - skoro wchodzisz na taką stronę, to może jesteś mężczyzną? Może masz swój dom albo chociaż działkę? Stopniowo powstaje Twój profil.
  3. Następnie idziesz na stronę “Słodkie ciasteczka”, która również korzysta z obsługi reklam za pomocą firmy “SuperReklama”. To znaczy, że widoczne będzie wcześniej stworzone ciasteczko, a “SuperReklama” wie teraz, że być może po koszeniu lubisz nagrodzić się słodką przyjemnością.

Im więcej stron obsługiwanych przez “SuperReklamę” odwiedzisz, tym lepszy będą mieli obraz tego jakim klientem jesteś.

Czemu third-party cookies są złe?

Third-party cookies są złe, bo są bardzo skuteczne. To niebezpieczne gdy firmy trzecie, o których istnieniu tak naprawdę nawet nie wiemy, wiedzą tak dużo o nas samych. Teoretycznie nie mogą wskazać palcem, że my to my (nie przechowują danych wrażliwych, przynajmniej w teorii), ale jeżeli da się powiązać naszą przeglądarkę z jakimś identyfikatorem w ich bazach, to na upartego dałoby się sporo o nas dowiedzieć.

Jeżeli przykładowy scenariusz nie zapalił Ci w głowie czerwonej lampki, to opowiem Ci o zagrożeniach wynikających z technologii, która napędza od lat programmatic.

Dyskryminacja

Jak ciasteczka mogą prowadzić do dyskryminacji? Nie wydaje się to intuicyjne, nie? Oto kilka przykładów:

  • Jeżeli często przeglądasz strony marek premium, możesz widzieć reklamy z produktami o zawyżonych cenach. Może to nie do końca ten sam przypadek, ale spotykałem się już nieraz z sytuacją gdy ceny produktu były wyższe gdy wchodziłem na stronę z urządzenia Apple, a nie Windows lub Android. Za ten sam produkt.
  • Powyższe działa odwrotnie - reklamy mogą zawierać tylko produkty niskiej jakości.
  • Jeżeli zostaniesz sprofilowany jako osoba o niskim wykształceniu lub wykonująca mało prestiżową pracę, możesz nie widzieć niektórych ofert pracy, ofert edukacyjnych.

Kampanie dezinformacyjne

Dzięki precyzyjnemu targetowaniu, jesteśmy podatni na dezinformacje. Temat bardzo aktualny w obliczu trwającej wojny na Ukrainie. Można wyświetlać informacje, które trafiają w czuły punkt i powodują zwiększanie napięć społecznych, a w ich następstwie - osłabienia solidarności państw.

Polityka

Świat zna już wiele przypadków gdy dobry ad-targetting wpływał na wyniki wyborów. Głośny był przypadek Cambridge Analytica, której to przypisuje się duży wpływ na sukces Donalda Trumpa. Jak się później okazało, pozyskali oni w sposób nielegalny dane od Facebooka. Donosi się, że dane nawet 87 milionów użytkowników zasiliły mechanizmy kampanii.

HINT: Zauważ, że dane z Facebooka to coś więcej niż informacja o tym, że ktoś lubi kosiarki i słodycze. Mogły tam być informacje na temat narodowości, religii, preferencji seksualnych, stanu cywilnego, wykształcenia.

To czy takie dane powinniśmy dobrowolnie wrzucać gdzieś w internet to inny temat. Zmierzam do tego, że strony zbierają i analizuję znacznie więcej danych na nasz temat niż nam się to wydaje. Przykład powyżej został uproszczony dla ułatwienia przyswajania wiedzy.

Niemałą rolę odegrały też reklamy w przypadku Brexitu, a także podczas wyborów w 2014 i 2019 roku. Sugeruje się, że to te kampanie dały zwycięstwo partii BJP, chociaż zdania są podzielone.

Bańka informacyjna

Przez to, że trafiają do nas tylko informacje skrojone specjalnie pod nasze preferencje, zainteresowania, stajemy się ograniczeni na nowe bodźce. Prowadzi to do tworzenia i pogłębiania skrajnych poglądów.

Może to również utrudniać nam wprowadzanie pozytywnych zmian w swoim życiu. Na przykład ktoś kto był uzależniony od fast-foodu i przeszedł na dietę, jeszcze długo będzie oglądać reklamy McDonalds, KFC i innych sieci.

Ale czekaj, to nie wszystko

Teoretycznie, gdyby firmy zbierały o nas informacje, ale były ich jedynymi właścicielami - nie byłoby aż tak źle. Niestety, w praktyce tak to nie wygląda.

Różni twórcy narzędzi reklamowych używają specjalnych rozwiązań, które pozwalają połączyć pliki cookie z niezależnych źródeł.

To znaczy, że Twój profil nie tworzy się tylko i wyłącznie w Twojej przeglądarce w laptopie. Ten, który jest na telefonie najprawdopodobniej został już powiązany z tym z komputera. Może nawet dołączył do nich profil z telewizora.

Jeżeli korzystasz z tego samego WiFi z domownikami, jest spora szansa, że powstaną również takie połączenia. Dwóch użytkowników pod jednym dachem w wieku rozrodczym? Dostaniecie reklamy pierścionków zaręczynowych, kredytów hipotecznych. Poszukaj raz czegoś o ciąży, a zaczniesz widzieć reklamy pieluch, żłobków i innych treści związanych z dziećmi.

Nazywa się to cookie matching

Jak to jest w ogóle możliwe? Nie wystarczy, że cookie śledzi nas w różnych witrynach, to jeszcze musi robić to na różnych urządzeniach?

Technicznie rzecz biorąc, to nie cookie nas śledzi. Jego życie ograniczone jest do konkretnej przeglądarki. Ale identyfikator, który w nim jest może zostać powiązany z innym identyfikatorem aby stworzyć jeden, zunifikowany profil.

To oczywiście czasem nie działa idealnie i nagle możesz zacząć widzieć reklamy kolegów i koleżanek z pracy, ale mimo wszystko są to potężne narzędzia, które jeszcze bardziej ograbiają nas z prywatności.

Zmierzch 3rd party cookies

Ok, trochę tutaj postraszyłem, a przecież mówi się dużo o odchodzeniu od tych nieszczęsnych ciasteczek. Czy to znaczy, że odzyskamy naszą prywatność i zaczniemy widzieć losowe, niedopasowane do nas reklamy?

NOTE:

Tak naprawdę 3rd party cookies nie działają w części przeglądarek już od jakiegoś czasu. O ich śmierci mówi się jednak dopiero kiedy to samo Google, reklamowy gigant pozbywa się ich z najpopularniejszej przeglądarki na świecie - Chrome, która ma prawie 65% udziału w rynku, na moment pisania tego artykułu.

TLDR; dalej będziesz oglądać targetowane reklamy, ale poziom ochrony prywatności powinien ulec pewnej poprawie. Od kilku lat trwają prace nad różnymi alternatywami, takimi jak FLoC, Fledge, Topics API. Mają one na celu zachowanie możliwości trafiania z reklamami do realnie zainteresowanych tematem osób, ale bez szczegółowego profilowania i zachowywania historii przeglądania użytkowników.

Niestety, na ten moment proponowane rozwiązania nie są wolne od wad i były krytykowane za obchodzenie problemu, a nie rozwiązywanie go.

Najbardziej oczywistą alternatywą dla third-party cookies są oczywiście first-party cookies. To by znaczyło ograniczenie śledzenia do jednej witryny i łatwiejszą kontrolę nad tym gdzie dane trafiają, przez kogo są procesowane. Tutaj największą moc mają duże portale, które agregują sporo informacji o swoich użytkownikach.

Reklamy są też wyświetlane na podstawie kontekstu. Na forum dla grzybiarzy mogą wyświetlać się reklamy noży, odzieży wodoodpornej, środków na kleszcze. Ze sporym prawdopodobieństwem, że trafią na podatny grunt.

Jak zadbać o prywatność w sieci?

Coraz więcej przeglądarek automatycznie ogranicza możliwość śledzenia nas. Na przykład najnowsze Safari ma wbudowany VPN. Podstawą jest oczywiście odmawianie używania plików cookies na witrynach, które odwiedzamy.

Pamiętaj, że rejestrując się i logując na różne serwisy, które są za darmo, Twoją opłatą są Twoje dane. Rozważ więc zawsze czy niezbędne jest podawanie swoich prawdziwych danych, a jeżeli tak - to podawaj ich minimum.

Coś co raz trafi do internetu, już z niego nie znika.

Podobne artykuły

4 min. czytania

Jak działa i skąd się wziął internet

Niekiedy można mieć wrażenie, że internet jest z nami od zawsze. Czy wiemy jednak jak i kiedy powstał? Jakie są podstawy jego działania?

3 min. czytania

TCP/IP - zrozumieć potężny duet

We wcześniejszym artykule przyjrzeliśmy się temu jak działa samo IP. Jednak to dopiero ich duet nazywany jest początkiem rewolucji internetowej. Czym jest TCP (...

3 min. czytania

Internet Protocol - czym jest IP i jak działa?

Protokoły (ang. protocols) to podstawa funkcjonowania internetu - od samego jego początku. Pierwszym duetem, który odgrywał znaczącą rolę był TCP/IP, chociaż bę...

4 min. czytania

HTTP, wszystko co musisz wiedzieć

Do czego służy najbardziej znany wśród webdeveloper’ów protokół? Czym się różnią jego wersje? Wszystkie niezbędne informacje w jednym artykule.