etag что это такое
Нет Cookies, нет проблем — использование ETag для отслеживания пользователей
Работая старшим консультантом по дижитал-аналитике в ведущем международном аналитическом агентстве, с огромным интересом наблюдаю за нынешним крестовым походом современных веб-браузеров против технологии cookie.
Оказывается, есть способ отслеживать отдельных не вошедших в систему пользователей без использования файлов cookie. Я тоже реализовал это. Сейчас покажу как.
Для наглядности я создал демо-сайт. Вот он.
Нажмите на каждую из трёх кнопок Page → На всех трёх один и тот же идентификатор.
Закройте окно браузера и снова откройте сайт → Идентификатор не поменялся.
Выключите компьютер и зайдите на эту веб-страницу завтра → Идентификатор всё тот же.
Проверьте ваши куки → Демо-сайт не записывает куки и не считывает их.
Проверьте URL → Сомнительные строки запроса отсутствуют.
Итак, как именно я могу хранить идентификатор и узнавать, что вы с определённого устройства возвращаетесь на сайт, при этом без входа в систему и без использования куки?
Мы в EDISON со всеми этими нюансами приватности сталкиваемся постоянно.
Наш новый выполненный проект — «Резидент Такси» — в котором мы связали в единое целое сайт агрегатора-такси, CRM-систему, блок контроля водителей и автомобилей, мобильные приложения для iOS и Android.
Однако, всегда учитываем: безопасность каждого пользователя — это святое 😉
Cookies используются всё меньше
Если вы достаточно активный пользователь интернета, вы наверняка так или иначе сталкивались с бесконечными дискуссиями относительно файлов cookie и о том, как они используются. В настоящее время браузерные технологии всё чаще отказываются от куки — тем паче что сейчас всё строго зарегламентировано правилами конфиденциальности, такими как GDPR или CCPA. Хотя это, безусловно, прогресс, так как является важным шагом на пути к более ориентированному на конфиденциальность интернету, однако с другой стороны также наносит огромный урон основной функциональности большинства веб-сайтов, их UX, экономической структуре интернета и индустрии дижитал-аналитики. Хотя в техническом аспекте использование cookie-файла браузером в качестве идентификатора для возвращающегося пользователя весьма надёжно, есть и другие веб-технологии, основанные на хранении информации на локальном компьютере.
Роль кэша
Вот кэш. По сути, веб-кэширование означает хранение данных из интернета на вашем устройстве, поэтому браузер может повторно использовать эти данные позже, когда тот же ресурс запрашивается снова. Например, когда пользователь загружает веб-страницу впервые, сервер страницу полностью отправляет браузеру. Когда страница закэшируется, и пользователь запрашивает ту же страницу снова на следующий день, браузер запоминает её, и серверу не нужно отправлять ее снова, страница в браузере может быть сразу отображена из кэша. Это гораздо быстрее, да и обеспечивает высокую пропускную способность. В целом, технология кэширования значительно увеличивает скорость доставки веб-контента, а также значительно сокращает объём работы, выполняемой на стороне сервера.
Кэширование может быть выполнено с использованием ETag. Это такие идентификаторы, которые прикрепляются к каждому ресурсу, предоставляемому сервером (например, веб-странице или изображению). Таким образом сервер выясняет, кэшировал ли пользователь самую новую версию ресурса. Когда ресурс на сервере изменяется, для этого ресурса создается новый идентификатор ETag.
Использование технологии кэширования для отслеживания и идентификации пользователей
Хотя ETag предназначен именно для кэширования, эта функция также может быть взломана и преднамеренно использована для отслеживания пользователей.
Вот как это сделал я в моём примере:
Поиск ETag ID iFrame с помощью Chrome DevTools.
Как предотвратить отслеживание с помощью ETag
Это может быть достаточно непросто. Здесь не используются куки или локальное хранилище браузера. Работает без участия JavaScript. И не используется User-Agent.
Однако у пользователей есть несколько вариантов защиты от отслеживания ETag:
Почему это важно
Почему я проверяю эти вещи? Почему я написал эту статью? Я, разумеется, не намерен использовать это в широких масштабах. Но хотя ETag может использоваться и нехорошими людьми, этот пример демонстрирует важную мысль: как и большинство других технологий, по умолчанию ETag не обязательно вреден. В зависимости от того, для каких целей это используется.
Я считаю, что для всех важно знать, про существование подобных методов. И что они могут быть использованы. Было довольно много случаев, когда сайты использовали ETag незаконно. Некоторые из этих инцидентов были даже урегулированы в суде. И вполне вероятно, что подобные методы будут всё чаще использоваться перепуганной рекламной индустрией, которая наблюдает за тем, как рушится один из её столпов: cookie.
Один из многих (безопасных) примеров ETag в интернете можно найти, к примеру, в политике конфиденциальности сети быстрого питания Wendy в отношении файлов cookie и технологий отслеживания:
С помощью ETag можно генерировать уникальные значения отслеживания, даже если пользователь блокирует файлы cookie HTTP, Flash и/или HTML5.
Подобное объявление, похоже, является примером того, как многие сайты используют ETag в своей политике конфиденциальности. Чтобы было ясно: это само по себе не является ни плохим, ни незаконным. Конечно, значения ETag должны быть уникальными. В этом весь смысл их работы в целях кэширования. Однако этот раздел сформулирован очень расплывчато и неоднозначно, особенно когда речь идет о том, используются ли эти значения ETag для отслеживания или нет. И лично я считаю это проблемой. При запросе в отдел конфиденциальности Wendy, они ответили стандартным электронным copy-paste письмом, подтверждающим, что ETag не используются для отслеживания. Политика конфиденциальности, однако, оставляет эту дверь широко открытой. И это то, что меня беспокоит.
Я верю в открытую и прозрачную передачу знаний в отрасли — среди поставщиков аналитики, издателей, рекламщиков и пользователей Интернета. ИМХО, отсутствие открытости является одной из основных причин, по которой мы все оказались втянуты в эту грязную войну с cookie-файлами: интернет-экосистема всегда страдала от недостатка прозрачности, технологии развивается слишком быстро, чтобы законодательство успевало за ними, и люди не понимают многочисленные тонкости веб-технологий, наподобие файлов cookie. И когда технологии используются ненадлежащим образом, пользователь по понятным причинам чувствует себя уязвлённым. Но запрет технологии оказывается классическим случаем борьбы с симптомами, а не с причиной. Тот факт, что многие технологические компании злоупотребляют такими технологиями, как файлы cookie, формирует несправедливое отношение к технологии со стороны общественности. Что, в свою очередь, приводит к несоразмерным мерам со стороны разработчиков браузеров и законодательства. Хотя эти меры нацелены на обеспечение приватности, они в то же время наносят вред хорошим и значимым инновациям.
Всегда есть нюансы. Я твёрдо верю в законность и важность серьёзной дижитал-аналитики — до тех пор, пока она выполняется с должным уровнем соблюдения конфиденциальности. Что происходит после, когда магазин законно идентифицировал посетителя? ETag, безусловно, можно использовать в разных целях. Но одно можно сказать наверняка: эта тема никогда не станет скучной.
eTag Card Black
Передавай контакты и информацию одним касанием.
Другому человеку не нужно иметь eTag.
Работает на iPhone и Android.
Приложение НЕ требуется, так как все происходит в браузере в новой вкладке с нашим уникальным сервисом, где НЕ нужно вводить ваши пароли.
eTag имеет клейкую поверхность 3M, полностью автономен и работает без батареек.
Приклеивать eTag можно на смартфон, чехол, ноутбук, планшет, визитницу, рабочий стол, кошелёк, блокнот и на любую другую поверхность.
Etag что это такое
1. Проверьте, точно ли смартфон есть в списке поддерживаемых устройств.
Если вашего телефона нет в этом списке, не переживайте! Вы все еще можете делиться своим профилем eTag с другими. Главное только его активировать.
2. Прислонять телефон к eTag нужно верхней частью задней стороны телефона, там где находится камера и телефон должен быть включен.
1. Проверьте, точно ли смартфон есть в списке поддерживаемых устройств.
Если вашего телефона нет в этом списке, не переживайте! Вы все еще можете делиться своим профилем eTag с другими. Главное только его активировать.
2. Прислонять телефон к eTag нужно верхней или центральной частью задней стороны телефона и телефон должен быть включен.
3. Включите в настройках NFC. Без включенной функции NFC, eTag работать не будет. Убедитесь, что она включена.
Проверьте, правильно ли вы прислоняете свой смартфон к eTag. Обычно это верх задней стороны телефона, там где обычно находится камера.
Изначально мы предполагаем что это будет ваш смартфон, который у вас всегда с собой, вместе с нашей бесконечной визиткой.
Лучшее всего приклеить на нижнюю часть задней стороны смартфона.
Если бесконтактная оплата на вашем смартфоне срабатывает в верхней части, то разместить eTag можно посередине.
Для владельцев Android рекомендуем перед приклеиванием на смартфон, убедиться что eTag не срабатывает в данном месте.
Так же вы можете приклеить свой eTag: на ноутбук, планшет, визитницу, рабочий стол, кошелёк, блокнот и на любую поверхность на сколько хватит вашей фантазии.
Переклеивать eTag мы не рекомендуем, однако вы можете это сделать, но гарантия работоспособности снимается.
ETag спешит на помощь
Ни для кого не секрет, что в протоколе HTTP, а точнее в той его части, что является ответом с сервера, есть такие замечательные заголовки, как Last-Modified и ETag (Подробнее можно прочитать в спецификации протокола). Призваны они ускорить процесс получения контента с сервера, а точнее избавить клиента от загрузки данных, которые не были изменены с момента предыдущего запроса.
Так вот. Для меня факт существования двух, по-сути одинаковых, механизмов сообщить клиенту изменилось ли содержимое страницы или нет немного настораживал. Немного. Точнее я его не понимал для чего нужен ETag, если мне всегда было достаточно одного Last-Modified и юзкейса для другого я даже и представить не мог (хотя меня этот вопрос, признаться честно, не особо и волновал).
Но это все было до вчерашнего дня, когда я попал в ситуацию, где Last-Modified не справился. И ситуация эта — достаточно распространенная — мультиязычный контент. В моем случае идентификатор текущего языка хранится в сессии на сервере и URL для разных языков один и тот же, что и привело, собственно, к проблеме. Начав работы по оптимизации сайта я включил условное кеширование и обнаружил, что переключатель языка перестал работать.
Вот тут-то мне и пригодился ETag вместо привычного Last-Modified. Причем строить я стал его очень незамысловато — а именно конкатенацией текущего языка и даты модификации контента. В этом случае при смене языка клиент получал для одного и того же URL различные ETag и соответственно перегружал страницу заново.
А в качестве заключения мне хотелось бы обратить внимание (и своё в превую очередь) на то, что не стоит сразу высмеивать и/или критиковать коллег по цеху, если некоторе вещи с первого взгляда кажутся нам нелепыми или глупыми. Возможно это мы сами пока что чего-то не замечаем.
Etag что это такое
Изначально мы предполагаем что это будет ваш смартфон, который у вас всегда с собой, вместе с нашей бесконечной визиткой.
Лучшее всего приклеить на нижнюю часть задней стороны смартфона.
Если бесконтактная оплата на вашем смартфоне срабатывает в верхней части, то разместить eTag можно посередине.
Для владельцев Android рекомендуем перед приклеиванием на смартфон, убедиться что eTag не срабатывает в данном месте.
Так же вы можете приклеить свой eTag: на ноутбук, планшет, визитницу, рабочий стол, кошелёк, блокнот и на любую поверхность на сколько хватит вашей фантазии.
Переклеивать eTag мы не рекомендуем, однако вы можете это сделать, но гарантия работоспособности снимается.
Нет, другому человеку не обязательно иметь свой eTag.
Главное, чтобы считывающий смартфон был в списке поддерживаемых устройств.
Проверьте, правильно ли вы прислоняете свой смартфон к eTag. Обычно это верх задней стороны телефона, там где обычно находится камера.
Так же, eTag не получится считать, когда у считывающего смартфона:
1. Проверьте, точно ли смартфон есть в списке поддерживаемых устройств.
Если вашего телефона нет в этом списке, не переживайте! Вы все еще можете делиться своим профилем eTag с другими. Главное только его активировать.
2. Прислонять телефон к eTag нужно верхней частью задней стороны телефона, там где находится камера и телефон должен быть включен.
3. eTag не получится считать, когда у считывающего смартфона:
1. Проверьте, точно ли смартфон есть в списке поддерживаемых устройств.
Если вашего телефона нет в этом списке, не переживайте! Вы все еще можете делиться своим профилем eTag с другими. Главное только его активировать.
2. Прислонять телефон к eTag нужно верхней или центральной частью задней стороны телефона и телефон должен быть включен.
3. Включите в настройках NFC. Без включенной функции NFC, eTag работать не будет. Убедитесь, что она включена.