谷歌试图杀死 Cookie

2020 年 1 月，谷歌 Chrome 官方博客发布一则重磅消息：

为提升用户隐私和安全，未来两年，谷歌将在 Chrome 浏览器上逐步淘汰第三方 Cookie。

对此，Chrome 工程负责人 Justin Schuh 解释称，“用户对隐私权的要求变得更高，包括透明度、选择和控制自己数据的使用方式，web 生态系统需要不断发展来满足这些日益增长的需求。“

此前，苹果、微软和 Mozilla 已经采取行动，纷纷禁用第三方 Cookie。

来自 statista 的数据表明，截至 2019 年 12 月，谷歌 Chrome 是全球最受欢迎的 Web 浏览器，市场份额遥遥领先，高达 69%。

一位资深技术人士对笔者表示，“就安全性而言，我觉得这是一件好事。至少，我们的个人隐私或偏好不会那么容易被第三方获取。不过，对一些网络广告商而言，这可能少了一个很大的用户数据来源，它们可能面临业务或股价上的一些压力。“

谷歌的这一举动将引起一些数字营销人员的忧虑。更重要的是，任何拥有网站的人都会受到此举影响，包括品牌、代理商和出版商。因为长期以来，Cookies 一直是数字营销生态系统的命脉。

《金融时报》评论谷歌此举，“为侵入性最强的互联网跟踪器敲响丧钟”。

短期内，营销人员将会失去“精准定位”许多客户的手段；从长远来看，数字营销人员必须找到一种更有持续性的解决方案，它对消费者而言更直接和个性化。

该技术人士说，“随着这样一个途径被堵住，短期之内，广告商的日子会受到一定影响，但是相信还会出现其他方式通过合法或非法手段收集用户数据。毕竟，这种攻防游戏会一直持续下去。”

在他看来，当今，用户的个性化数据是很多人工智能等技术的基础，用户数据变得越来越重要。

认识 Cookie

相信很多人都经历过这样的事：

打开浏览器，去京东或天猫搜索 iPhone 手机，然后当我们去某个新闻网站浏览科技信息时，网页上的广告就会给你推荐 iPhone 手机。你心中或许会产生疑问，“这个广告怎么这么准？它怎么知道我想买 iPhone 手机？”

别惊讶，广告之所以能“精准推荐”，Cookie 在这个过程中发挥着举足轻重的作用。

那到底何为 Cookie？

百度百科解释为：Cookie，有时也用其复数形式 Cookies。类型为“小型文本文件”，是某些网站为辨别用户身份，进行 Session 跟踪而储存在用户本地终端上的数据（通常经过加密），由用户客户端计算机暂时或永久保存的信息。

从数字广告的角度看，第三方 Cookie 被用来记录用户浏览网站的活动。这样，以后就可以专门针对该用户投放其感兴趣的广告。

举个例子，如果你访问电商平台并浏览任天堂 Switch 的游戏，你稍后可能会在其他网站上看到相关的视频游戏广告。

Cookie 主要用于三个方面：

1. 会话状态管理，比如用户登录状态、购物车、游戏分数或其他需要记录的信息；

2. 个性化设置，比如用户自定义设置、主题等；

3. 浏览器行为跟踪，比如跟踪分析用户行为等

Cookie 的问题

Cookie 的问题在于个人信息的收集。

随着时间的发展，所有这些 Cookie 都会收集有关个人的大量信息。然后，这些个人信息可以被合并到详细的数据库中。这些数据库不仅是对个人隐私的严重侵犯，而且如果遭到黑客入侵或公开泄露，还会带来更严重的安全风险。

对实施身份盗窃或假冒计划的犯罪分子来说，它们可是重要“宝藏”，存储着大量的个人信息。

上述资深技术人士称，“在 HTML5 本地存储相关技术出现前，Cookie 是在客户端保存用户数据的唯一手段，但 Cookie 本身有很多问题，比如大小限制、明文存储等。不过，其最大的问题还是安全性。很多的安全漏洞都是源于 Cookie 被窃取。”

此外，第三方 Cookie 也给政府机构跟踪个人活动带来另一种可能性。

2018 年 5 年，《GDPR》在欧盟生效。该隐私保护法案旨在确保用户知晓公司在收集有关他们的数据，并让用户有机会同意共享这些数据。这要求公司在收集哪些信息以及为什么收集这些信息等问题上保持透明。个人有权访问自己的所有数据，并控制它们的访问和使用权限，甚至删除它们。

在《GDPR》生效后，许多网站都开始添加 Cookie 通知。

然而，这并没有什么卵用。大多数情况下，人们只是下意识的点击“同意”并继续访问网站。

据悉，麻省理工学院、伦敦大学学院和奥胡斯大学的研究人员对 Cookie 的使用进行了联合研究。他们分析了 5 家为英国前 10000 个网站使用的 Cookies 提供 CMP 的公司。

许多网站都使用所谓的 CMP 征求同意来跟踪 Cookie

尽管欧盟隐私法律规定，必须告知、具体和自由提供 Cookie 的同意，但研究表明，只有 11.8%的网站符合《GDPR》的最低要求。

我们看到，即使在法律的“大棒”下，Cookie 在个人隐私方面依然没有很大改进。毕竟，它已经支撑了数字广告 25 年，无形中成为“一股不可动摇的力量”。

丧钟敲响

在数字营销生态系统中，如果有人能为 Cookie 敲响“丧钟”，那非谷歌莫属。

现在，Cookie 丧钟已鸣。

在谷歌最新发布的 Chrome 80 稳定版中，Cookie 策略被调整。

据悉，在 Chrome 80 中，Chrome 会将没有声明 SameSite 值的 Cookie 默认设置为SameSite=Lax。只有采用SameSite=None; Secure设置的 Cookie 可以从外部访问，前提是通过安全连接（即 HTTPS）访问。

这个处理 Cookie 文件方式的变化就是本次更新的第一项重大更改，它将改变以往用户隐私被滥用的现象，保证仅能通过 HTTPS 连接访问跨站 Cookie。

除直接的安全优势外，明确声明跨站 Cookie 还能提高透明度和用户选择。例如，浏览器可以为用户提供管理 Cookie 时的精细控制，将仅可以在单个网站访问的 Cookie 与可以在多个网站访问的 Cookie 分开。

从技术角度，该技术人士表示，“在使用 Cookie 记录用户登录的基本信息方面，随着微服务架构的流行，大家更倾向于采用 token 认证的方式，常见方案比如 JWT；而在记录客户端数据方面，我们会更多的使用 HTML5 原生的一些技术，例如 localStorage 和 sessionStorage 等。”

写在最后：

除了浏览器厂商的自我改进，我们还可以使用一些工具保护隐私和安全，避免 Cookie 跟踪。笔者使用了 4 款 Chrome 插件，分别是Privacy Badger（隐私獾）、Ghostery、HTTPS Everywhere和 Cookie AutoDelete。