Web Analytics Wednesday NRW 25.9.2019 @ auxmoney / MeasureCamp Berlin @ Zalando 29.9.2019.
Ein Ersatz bzw. eine Ergänzung der Tonspur gibt es im Blog unter https://www.markus-baersch.de/blog/browser-vs-tracking-stand-der-dinge-und-wo-das-eigentliche-problem-liegt/
"Historischer" Hinweis: ITP 2.3 ist / war noch keine Woche alt, Edge Beta gerade raus. Testergebnisse lagen noch nicht vor. Wenn es localStorage & Co. besser geht, als zu diesem Zeitpunkt vermutet: Umso besser :)
5. Wer macht was?
Chrome
• Naturgemäß letzter, der GA an den Kragen geht. Eiert derzeit funktional um das Thema herum und ist deshalb in der Kritik.
• Aktives Opt Out statt Default scheint wahrscheinlich
• Anti Fingerprinting, „sameSite“-Attribut
Edge
• Schutz derzeit nur in „Microsoft Edge Insider preview“
• Umfang und Defaults noch nicht final. Aber es soll auch localStorage an den Kragen gehen!!1elf
• Nur eine Frage der Zeit
Firefox
• Enhanced Tracking Protection (ETP) betrifft das Laden von Tracking-Scripts und Zugriff auf Cookies
• Akt. Stand (seit 69): Firefox blockiert per Vorgabe der Nutzerverfolgung dienende Third Party Cookies anhand einer Liste
• Fingerprinting Schutz separat vorhanden; ITP will follow(?)
Safari
• Intelligent Tracking Prevention (ITP)
• „Vorreiter“ und derzeit das größte Hindernis
• ITP 2.1 seit Safari 12.1 (2.2: 12.2)
• ITP 2.3 (seit Safari 13): behandelt localStorage & Co. wie Client-Cookies(?)
20. Safari: Schlachtfeld ITP
ITP blockiert oder beschränkt Cookies deutlich zum Schutz vor
domainübergreifendem Tracking durch Dritte. Erstmal 3rd Party…
Drittanbieter stellen auf First Party Cookies um (siehe fbclid)
ITP 2.1 beschränkt FPC Laufzeit auf 7 Tage, wenn Cookie clientseitig per
JS gesetzt wird. ITP 2.2 ggf. sogar nur 1 Tag.
ITP 2.3 behandelt localStorage ebenso, daher auch kein Ausweg (mehr)
GA, eTracker, Matomo, Piwik PRO, Testingtools, externe Erweiterungen
der Website… setzen alle auf clientseitige FPC oder z. T. localStorage
Problem!
32. Überblick Lösungswege
• „same origin“ kann ein Problem sein / Komplexität erhöhen
• Cookies als Fallback behalten
localStorage
• DSGVO-konf. Identifikation der User durch Site erforderlich
• kann per Design nur Teillösung sein
User ID
• Aufwand systemabhängig groß oder gering
• Plugins sind zu erwarten – langfristig vermutlich beste Lösung
Serverseitige Cookies
• Anpassung Trackingcode erforderlich
• Derzeit wohl flexibelste Lösung
Variante: Cookes
nachträglich „aufwerten“
• Warten auf Hersteller
• Je nach Rahmenbedingungen valide Option
Nichts tun
• Reverse Proxy / CNAME
• Server Side Tracking – aber ist das wirklich eine Option?
Potentielle künftige
Lösungen
37. Opt Out Cookies und ITP
DSGVO?
Frag mich nicht.
Ist das doof?
Ja. Auf jeden Fall!
Lösung?
Auch hier: localStorage oder weg vom „JS-Cookie“
38. Opt Out Cookies per Server
• Nur Link anpassen erforderlich
• PHP oder sonstwas muss laufen. Beispiel:
https://go.gandke.de/itp1
39. Langfristiger Ausblick
Ende der Cookies?
Es wird jedenfalls nicht leichter. Und: Banner. Und: ePrivacy.
Alternativen?
• Server2Server? Aber auch hier muss identifiziert werden!
• Autorisierung, Loginpflicht – nur Teillösungen
• localStorage? Je nach Szenario ggf. auch nicht; siehe Edge + ITP
2.3. Cross Domain geht es ohnehin nicht (einfach)
• httpOnly, secure Cookies und eigenes Management der ClientId
40. Umstieg auf httpOnly Cookies (ungar)
Request kommt vom
Browser
ID als Cookie dabei? Sonst
neu vergeben und später in
Response mitsenden als
Cookie.
•Ggf. „legacy Behandlung“ alter JS
Cookies
(ggf. neue) ID in JS-Variable
für direktes Tracking oder
dataLayer in Antwortseite
einfügen
Response senden; inkl. ID-
Cookie als httpOnly und
secure.
Trackingcode mit
abgeschaltetem Cookie-
Update und unter
Verwendung der
übergebenen ID aufrufen
Tracking geht raus
•Scripts werden blockiert? Dann zur
Not per „Brücke“ / Shim, Proxy,
DNS, CNAME oder sonstwie über
eigene Domain ausliefern
42. Langfristiger Ausblick
Neue Modelle (wirklich mit mehr Kontrolle?)
• IAB User Token, „standardized, controlled container for ad
delivery“. https://iabtechlab.com/blog/evolution-of-internet-
identity-privacy-tracking/
• HTTP State Tokens (Entwurf, „google-nah“).
https://mikewest.github.io/http-state-tokens/draft-west-http-
state-tokens.html
43. Tracking anpassen: Links zu Lösungen
User ID
Info unter support.google.com/analytics/answer/3123662?hl=de
localStorage
Anleitung Simo (GTM) www.simoahava.com/analytics/use-localstorage-client-id-persistence-
google-analytics/
Mein „ITP Rant“: go.gandke.de/itp1 - Report: go.gandke.de/itpimpactreport
Beispielcodes ga.js / gtag.js: go.gandke.de/itp2
Update für Opt Outs: go.gandke.de/itp3
Serverseitige Cookies
ITP Post von Simo www.simoahava.com/analytics/itp-2-1-and-web-analytics/
„Upgrade“ per PHP: go.gandke.de/itpcookieupgrade
Krasser Spaß mit GCP: https://go.gandke.de/itp-gcp
Secure Cookie Alternative: https://go.gandke.de/secure-ga-cookie