web浏览器停止运行此脚本 当浏览器全面禁用三方 Cookie
dl: https://bravafabrics.com/collections/a-moment-of-bliss
rl: https://bravafabrics.com/
这时facebook已经知道了我从来到了这个页面,同时,这个请求会携带fr=09wX7ui8MrvCh2SIa..BdNoGz.f.F6R.0.0.Belanb.AWXCDx这个Cookie。
来到facebook,当你登录后,facebook会把刚刚这些Cookie和你的facebook Id关联起来,然后他就可以好好的分析你的行为了:
而如此强大的追踪能力,只需要你复制一段Facebook Pixel的JavaScript脚本到你的页面上就可以了。而这一切能力就建立在一个小小的Cookie的基础上,因为有了这个Cookie,Facebook才能将这些行为与它的账号体系进行关联。
无处不在的的 mmstat
再来看一个我们国内的例子,平时我们在国内的搜索引擎或视频网站上搜索到一些东西,然后打开购物网站就可以收到各种你兴趣的相关推荐,这已经是大众习以为常的事情了,各大购物网站、广告商,会通过第三方Cookie收集你的年龄、性别、浏览历史等从而判断你的兴趣喜好,然后带给你精准的信息推荐。
比如,我们在浏览百度、优酷、天猫等网站时,都能看到几个.mmstat.com这个域下的Cookie
百度:
优酷:
天猫:
当你在百度、优酷、淘宝等进行一系列的操作时,.mmstat.com已经悄悄的通过三方Cookie把你的个人信息运送到了他们那边。.mmstat.com应该就是阿里旗下的大数据营销平台阿里妈妈旗下的域名(只是个人猜测)。打开阿里妈妈首页,可以看到,其号称是更懂消费者的数据金矿,已经建立起5亿用户的身份识别体系。你的每一次搜索、每一次购买、都会让它变的更精准,下一次你就收到更精准的推荐。
当然,三方Cookie只是众多获取你喜好信息的一种方式,只不过这种方式更便捷,成本更低。
浏览器的策略
最近几大浏览器针对Cookie策略的频繁改动,意味着三方Cookie被全面禁用已经不远了:
Firefox、Safari —— 默认禁用
在Safari 13.1、Firefox 79版本中,三方Cookie已经被默认禁用,但是由于这些游览器市场份额较小,并没有给市场带来巨大的冲击。因为阿里的登录信息是统一存在一个三方Cookie下的,淘宝刚开始的处理方式,甚至是弹个框出来,告诉用户手动开启三方Cookie:
但是这样的处理方式对于庞大的用户来讲肯定体验是极低的,解决方案可能是先将Cookie种在当前域下,所有就有了我们上面的测试结果,淘宝、天猫两个网站需要登录两次。
但是三方Cookie做的事情远不止这些,等到Chrome全面禁用之前,一定要提前作出改变。
Chrome —— SameSite Cookie
还好由于三方Cookie对Google的广告业务影响较大,所以其没有立即进行禁用,而是一直陆续修改一些小的策略来对三方Cookie进行限制,比如SameSite
SameSite是Chrome 51版本为浏览器的Cookie新增的了一个属性,SameSite阻止浏览器将此Cookie与跨站点请求一起发送。其主要目标是降低跨源信息泄漏的风险。同时也在一定程度上阻止了CSRF攻击。
SameSite可以避免跨站请求发送Cookie,有以下三个属性:
Strict
Strict是最严格的防护,将阻止浏览器在所有跨站点浏览上下文中将Cookie发送到目标站点,即使在遵循常规链接时也是如此。因此这种设置可以阻止所有CSRF攻击。然而,它的用户友好性太差,即使是普通的GET请求它也不允许通过。
