Nếu không muốn mất đi dữ liệu người dùng thì bạn nên biết đến bản cập nhật của Chrome cookie

Quyền riêng tư hiện là chủ đề đang được dư luận quan tâm đến. Nhiều trình duyệt chọn sử dụng ITP (Intelligent Tracking Prevention) để ngăn chặn cookie bên thứ ba, nhưng với Chrome – chiếm hơn 70% trong thị trường trình duyệt – lại chọn con đường cân bằng giữa quyền riêng tư và hệ sinh thái quảng cáo. Vào đầu năm nay Chrome công bố rằng sẽ loại bỏ cookie bên thứ ba, đồng thời phát triển các phương án thay thế khác. Thế nhưng trên thực tế, bản cập nhật mới của chính sách Chrome đã và đang thu hút sự chú ý của các nhà quảng cáo kỹ thuật số.
Vào đầu tháng 2, Google bắt đầu kích hoạt cơ chế mới trên trình duyệt Chrome nhằm tăng cường bảo vệ quyền riêng tư của cookie bên thứ ba. Vào ngày 4/2/2020 Google cho ra mắt Chrome 80, tất cả cookie của bên thứ ba khi truy cập mọi trang web bắt buộc phải có hai thuộc tính gồm “SameSite = Không có” và “Secure”. Chrome sẽ không cho phép cookie bên thứ ba mà không có hai thuộc tính trên tiến hành truy cập dữ liệu. Khi các cookie trên trang web không có thuộc tính “SameSite” “Secure” sẽ mất đi dữ liệu theo dõi người dùng và có thể gây tổn thất đến doanh thu.

 

Tới đây bạn sẽ tự hỏi SameSite và Secure rốt cuộc là thuộc tính gì?

 

Để giải thích điều này ta nên bắt đầu tìm hiểu thuộc tính của cookie


Công dụng của cookie nhằm phân biệt thân phận người dùng và lưu trữ một số dữ liệu của người dùng. Thường ngày chúng ta có thể duy trì trạng thái đăng nhập vào trang web, trang web có thể ghi nhớ các tùy chọn của bạn, và các nhà quảng cáo có thể dựa vào lịch sử trình duyệt của bạn để đưa ra các quảng cáo tương thích và thú vị, tất cả những điều này được thực hiện nhờ vào cơ chế theo dõi của cookie.

Phân loại cookie

Việc phân loại cookie dựa vào tên miền của người dùng và tên miền của cookie có tương thích với nhau không, sau đó tiến hành phân loại cookie bên thứ nhất (same-site: cùng trang web) và cookie bên thứ ba (cross-site: trang web chéo).

 

Phân loại Cookie bên thứ nhất Cookie bên thứ ba
Định nghĩa Khi tên miền cookie khớp với tên miền trên trang web đó thì được xem là nội dung “cùng trang web” hoặc “bên thứ nhất” Khi cookie đến từ nguồn ngoài (thông thường là quảng cáo, nội dung đề xuất…) không khớp với tên miền ban đầu của trang web thì được xem là nội dung “trang web chéo” hoặc “bên thứ ba”
Công dụng Duy trì chế độ đăng nhập và tùy chọn của người dùng trên trang web đó. Theo dõi lịch sử duyệt web và mức độ tương tác của người dùng nhằm cung cấp nội dung được cá nhân hóa.
Hình ảnh minh họa

 

Thuộc tính cookie

Ngôn ngữ phát triển cho cookies được cấu tạo từ một tập hợp gồm các thuộc tính tiêu chuẩn, được chia thành 5 phần:

  1. Secure
  2. Domain
  3. Path
  4. HTTPOnly
  5. Expires
Giới thiệu cấu trúc của cookie
Giới thiệu cấu trúc của cookie
Ngoài 5 thuộc tính tiêu chuẩn của cookie kể trên, từ Chrome 51 trở đi thì trình duyệt bắt đầu thêm thuộc tính SameSite vào cookie. Dưới đây là nội dung đề cập đến hai thuộc tính SameSite và Secure, cùng với những cải cách sắp tới của Chrome 80.
  • SameSite: Mục đích của SameSite là ngăn chặn trình duyệt truyền đi các cookie do yêu cầu giữa các trang web, nhằm mục đích giảm thiểu nguy cơ rò rỉ dữ liệu giữa các trang web và các cuộc tấn công CSRF (Cross-site request forgery: giả mạo yêu cầu chéo trang). SameSite được thiết lập với ba cấp độ gồm Strict, Lax và None nhằm hạn chế việc truyền cookie từ mức độ nghiêm ngặt đến lỏng lẽo.
Cấp độ SameSite Mức độ hạn chế việc truyền cookie Giải thích Thuộc tính
Strict Nghiêm ngặt Cấm hoàn toàn việc truy cập cookie giữa các trang web và thường được sử dụng trên các trang giao dịch và thanh toán ngân hàng… liên quan đến nội dung cần phải được bảo mật. SameSite=Strict;”
Lax Bình thường Chỉ cho phép một số cookie tiến hành truy cập web khi có yêu cầu Get. Trong hầu hết các trường hợp thì truy cập cookie chéo trang vẫn bị cấm. SameSite=Lax;”
None Lỏng lẽo Cho phép tất cả cookie truy cập chéo trang web “SameSite=None;”
  • Secure
      • Chỉ thị trình duyệt chỉ truy cập cookie từ các máy chủ có giao thức an toàn HTTPS.

 

Vậy thì Chrome 80 sẽ bao gồm những cập nhật gì?

Chrome 80 được xem là làn sóng cải cách quan trọng, tập trung vào cú pháp mặc định của SameSite.

Trước Chrome 80, cú pháp mặc định của cookie SamSite của Chrome là None. Điều này có nghĩa là bất kể cookie bên thứ nhất hoặc cookie bên thứ ba đều có thể gửi đi các yêu cầu chéo trang trên mọi trang web nhằm thu được thông tin duyệt web từ mỗi trang web khác nhau của người dùng. Thế nhưng, phương thức cho phép tất cả các cookie truy cập chéo trang khiến quyền riêng tư và an toàn của người dùng bị tiết lộ, rò rỉ dữ liệu đồng thời kéo theo các mối đe dọa như tấn công CSRF (Cross-site request forgery: giả mạo yêu cầu chéo trang).

Vì vậy, Google bắt đầu tiến hành những sự thay đổi từ Chrome 80 trở đi:

  • Chrome thiết lập giá trị mặc định của cookie SameSite thành Lax.
  • Nếu muốn sử dụng cookie bên thứ ba để truy cập dữ liệu một cách hiệu quả, giá trị SameSite của cookie bên thứ ba phải được thay đổi thành None. Đồng thời “SameSite=None” phải phù hợp với thiết lập thuộc tính Secure, nhằm chứng minh rằng cookie đến từ máy chủ có giao thức an toàn HTTPS, và từ đó trình duyệt mới cho phép cookie truy cập dữ liệu trên các trang web.

 

Chrome 80 đem lại ảnh hưởng gì đối với ngành quảng cáo kỹ thuật số?

Việc cập nhật giá trị SameSite của cookie ảnh hưởng đến chủ sở hữu trang web, nhà quảng cáo, nhà cung ứng công nghệ quảng cáo… đều là những người chơi phụ thuộc vào cookies để nhắm mục tiêu đối tượng. Trong đó đối tượng chịu ảnh hưởng lớn nhất từ việc thay đổi này là chủ sở hữu trang web, vì phải dựa vào cookie bên thứ ba để theo dõi hành vi lướt web người dùng nhằm đưa ra các nội dung đề xuất và nhắm mục tiêu sở thích người dùng.

SameSite cookie không giống với Safari ITP là cấm hoàn toàn cookie bên thứ ba. Chủ sở hữu trang web chỉ cần xác nhận rằng tất cả cookie bên thứ ba được quản lý đều đã được thiết lập SameSite=None và cập nhật thiết lập Secure, thì có thể tránh được sự mất mát dữ liệu theo dõi người dùng, hoặc giảm doanh thu một cách gián tiếp.

 

Với tư cách là chủ sở hữu trang web thì bạn nên làm gì trước sự thay đổi của Chrome 80?

  • Xác nhận rằng trang web của bạn đã được di chuyển đến trang HTTPS an toàn
  • Xác nhận với đối tác quảng cáo kỹ thuật số rằng cài đặt cookie bên thứ ba mà họ quản lý đã được cập nhật chưa
  • Xác nhận với nhóm phát triển kỹ thuật của bạn rằng cookie do bên mình quản lý có thể được Chrome truy cập thành công không
  • Hiểu rõ cài đặt cập nhật của cookie bên thứ ba: thêm thuộc tính “SameSite=None” “Secure”
  • Nếu mô hình kiếm tiền của bạn đang nhúng cookie bên thứ ba thông qua bộ công cụ do đối tác bên thứ ba phát triển (ví dụ: công cụ đề xuất bài viết) thì nhớ xác nhận với đối tác rằng các cập nhật liên quan đến cookie đã được thực hiện
Với những cải cách liên quan đến quyền riêng tư ngày một rõ ràng thì nó như là một dấu hiệu cảnh báo cho thấy việc theo dõi cookie bên thứ ba đang dần đi đến kết thúc. Khi chúng ta đang dần hướng tới một thế giới không có cookie, thì mô hình và chiến lược doanh thu của ngành công nghệ quảng cáo đều đang phải đối mặt với những thách thức và cải cách quan trọng. 

Nguồn:

推薦文章區