Cookies i webbläsaren på väg bort – då spåras användarna med annan teknik

De flesta onlineanvändare har upplevt det. Du gör en sökning på nätet för vårdändamål, reseinformation eller något att köpa och snart bombarderas du med e-post och riktade annonser på nätet för allt som har med din sökning att göra. Det beror på att cookies, webbkakor, i webbläsaren spårade dig när du gjorde dina sökningar; de identifierade dig och din aktivitet.

Under de senaste åren har annonsbranschen på nätet genomgått en genomgripande förändring, eftersom tillsynsmyndigheterna har begränsat hur cookies får användas och webbläsarleverantörerna har slutat att använda dem, som svar på konsumenternas protester när det gäller integritetsfrågor.

“De känner sig ofta övervakade; vissa tycker till och med att det är ‘läskigt’ att en webbplats kan visa dem annonser som är relaterade till deras beteende på andra ställen”, säger en färsk studie från HEC Paris Business School.

Cookies samlar ofta in och lagrar känslig konsumentinformation som inloggningsuppgifter, personligt identifierbar information och webbläsarhistorik. Därför bör övergången från cookies bidra till att minska vissa cybersäkerhetsrisker.

– Privatpersoner bör dock vara fortsatt vaksamma, eftersom hackare alltid ligger steget före, säger Roger Beharry Lall, chef för analysföretagets IDC:s avdelning för annonsteknik.

Annonsörer arbetar redan på ny teknik för att spåra konsumenter som ska ersätta cookies, säger han.

– På kort sikt kommer det att uppstå vissa störningar när annonsörer kämpar för att marknadsföra sig själva på ett effektivt sätt. Det kan verka bra för konsumenter att vara ”cookiefria”. Men det kommer sannolikt bara att bli fler irrelevanta annonser som översvämmar medierna och försöker hitta en publik.  Så det är lite av ett tveeggat svärd.

Redan 2019 berättade Google för användarna att man planerade att begränsa tredjepartscookies och att man skulle fasa ut dem i Chrome och andra Chromium-webbläsare med öppen källkod senast 2022. År 2022 sköt Google upp sina planer på att eliminera cookies till 2023. Och förra året sköt man upp planerna igen, till andra halvåret 2024.

Google skrotade också sina ursprungliga planer till förmån för en mindre ambitiös strategi.

– Även om de har gjort offentliga uttalanden om avvecklingen, skulle det inte förvåna mig alls om avvecklingen skjuts upp långt in på 2025. De har försenat många gånger tidigare, så de har inte förtjänat mycket förtroende i detta avseende, säger Lall. 

Konkurrenterna ligger långt före Google och Chrome när det gäller att blockera eller begränsa cookies från tredje part, men Googles överväldigande dominans på marknaden (64 procent av den globala webbläsarmarknaden) kommer utan tvekan att få en mycket större inverkan – om företaget gör verklighet av sina löften.

Mozillas Firefox började blockera cookies från tredje part 2019. Apples Safari 13.1 började blockera alla cookies från tredje part som standard 2020.

Microsoft har valt en annan strategi med sin webbläsare Edge, som erbjuder ett allt-eller-inget-alternativ för att tillåta eller neka cookies från tredje part. Standardinställningen tillåter cookies.

”Du kan låta alla webbplatser skapa cookies, eller inga webbplatser skapa cookies”, förklarar Microsofts policy. ”Du kan inte använda den här policyn för att tillåta cookies från specifika webbplatser.”

En talesperson för Microsoft säger att ”Microsoft Edge redan ger kunderna inbyggt spårningsskydd och ytterligare inställningar för att blockera tredjepartscookies om de så önskar. Branschen är på väg att skapa nya integritetsbevarande webbstandarder som inte förlitar sig på tredjepartscookies. I takt med att detta arbete utvecklas kommer vi att fortsätta stödja lösningar som bibehåller konsumenternas valmöjligheter och kontroll samtidigt som vi balanserar ett hälsosamt ekosystem för alla.”

Microsoft lovar också att redogöra för eventuella framtida ändringar av Edge-webbläsaren som kan påverka webbplatsens kompatibilitet.

Google började i januari att testa en version av Chrome utan cookies för bara 1 procent av användarna. Programmet, som kallas Tracking Protection, är en del av ett större initiativ som kallas Privacy Sandbox Initiative – ett försök att minska spårning över flera webbplatser och appar.

”Nedräkningen till den planerade avvecklingen av cookies från tredje part är i full gång”, skrev Anthony Chavez, Googles vice vd för Privacy Sandbox i ett blogginlägg i september. ”Vi ser fram emot att fortsätta samarbeta med branschen om denna övergång.”

Privacy Sandbox API:er är inte avsedda att vara direkta, en-till-en-ersättningar för alla tredjeparts cookie-baserade användningsfall eller att vara en fristående ad tech-lösning, enligt Victor Wong, senior director of product management för Privacy Sandbox.

”Istället är de utformade för att tillhandahålla grundläggande element som stöder kärnverksamhetsmål för marknadsförare och publicister (som att driva onlineförsäljning och visa relevanta annonser), utan cross site-identifierare”, skrev Wong i ett blogginlägg den 10 januari.

De nuvarande Privacy Sandbox API:erna – allmänt tillgängliga i Chrome sedan september – ”är redo att föra ekosystemet in i en mer privat framtid”, enligt Wong.

Enligt Google kan utvecklare använda Privacy Sandbox API:er tillsammans med annan teknik och input för att uppnå resultat som liknar de som uppnås med cookies.

Eftersom Sandbox API:er inte återskapar samma funktionalitet som cookies från tredje part och andra så kallade cross-site identifiers, kan utvecklare behöva omarbeta hur deras befintliga produkter fungerar, enligt Google.

”Att till exempel köra en annonsauktion på enheten innebär att tidigare server-only-funktionalitet nu kommer att interagera med ad tech-kod som körs i en webbläsare”, skriver Wong. 

”Och vissa funktioner som är beroende av cookies från tredje part, som målgrupper baserade på profiler av användaraktivitet på olika webbplatser, kommer inte att vara möjliga att direkt replikera med hjälp av Privacy Sandbox.”

Enligt Mike Froggatt, analytiker på Gartner, finns det ingen en-till-en-ersättning för cookies inom reklambranschen. Det finns dock flera IDFA-alternativ (device-level identifiers for advertisers), bland annat från Apple, Google och Meta, samt tekniska förslag från tredje part som UID2. 

– Dessa är dock vanligtvis slutna system som begränsar åtkomsten och endast rapporterar eller delar data i aggregerad form, säger Froggatt. 

– Även Googles Privacy Sandbox, som föreslår auktioner i webbläsaren, delar bara data efter att ett visst tröskelvärde har uppnåtts, och även då läggs ”brus” eller ytterligare data till för att maskera alla individuella identifierare.

Detaljerna kring Privacy Sandbox verkar vara ”under utveckling”, säger IDC:s Lall, vilket han menar är rimligt eftersom miljön förändras snabbt.

– Det kommer inte att ersätta cookies och det kommer att vara säkrare – begränsade informationsmängder, mer transparens, starkare cross site-begränsningar och så vidare – men många av detaljerna kring annonsering är oklara, säger Lall.

Kontextuell riktad annonsering

Sedan lång tid tillbaka har leverantörer använt sig av så kallad ”contextual targeting” baserat på exempelvis plattform, bransch, intressen, relaterade annonser, nyckelord och andra parametrar. Verktygen gör det möjligt för annonsörer att visa relevanta annonser baserat på innehållet på en webbplats snarare än att använda data om besökaren.

– Dessa lösningar är inte cookie-baserade och identifierar inte en individ i sig, utan syftar snarare till att förse annonsörer med målgrupper baserade på realtidsbeteenden, säger Lall.

Enligt Lall kan kontextuell inriktning faktiskt göra ett bättre jobb för att stimulera konsumentköp än cookies. Vanligtvis kommer leverantörer att tillhandahålla försegmenterade grupper baserade på kontextuella markörer, som till exempel småbarnsföräldrar.

Leverantörer har också utvecklat ”ID resolution”-verktyg som hjälper dem att identifiera anonyma webbplatsbesökare baserat på interaktioner med hjälp av deterministiska eller probalistiska metoder. Till en början är en konsument som surfar på en webbplats anonym. Men efter att ha interagerat med webbplatsen och svarat på frågor och svar kan systemet spåra tillbaka och identifiera användaren och hela dennes webbplatsrelaterade surfhistorik.

– Även om de resulterande annonserna kan kännas påträngande på grund av deras noggrannhet, är de inte integritetskränkande eftersom de är inriktade på en persons beteenden istället för på personen, säger Lall.

Spårningsskyddet begränsar cookies från tredje part som standard, vilket begränsar möjligheten att spåra användare på olika webbplatser. Användare kan också välja att stänga av funktionen. (Google hävdar att syftet är att öka integriteten på webben).

Det finns flera anledningar till Googles långsamhet men den mest relevanta är att Sandbox-initiativet byggs under överinseende av den brittiska konkurrens- och marknadsmyndigheten (CMA), enligt Froggatt.

Google får också fortfarande en stor del av intäkterna från sina displayannonser, konstaterar Froggatt. 

– Även om de inte är helt beroende av cookies från tredje part för inriktning och mätning, är de en signal som används för att öka värdet på media som de säljer på uppdrag av publicister och mediepartner med data som efterfrågas av byråer och annonsörer, säger Froggatt.

Google kommer sannolikt att fortsätta spåra konsumenter enbart genom sina egna verktyg, så det förblir en muromgärdad trädgård, enligt Lall. 

– Ju mer Google agerar på ett monopolistiskt eller slutet sätt, desto mer kommer tillsynsmyndigheterna att behöva engagera sig.

– Du kommer fortfarande inte att kunna göra kopplingen från din ”privacy sandbox API” till en ”känd individ” i detta cookieless-scenario. Du kommer att behöva ID-upplösning eller andra förstapartsdatalösningar för att gå från ”anonym användare som är intresserad av XYZ” till ”Jane Smith köpte XYZ”, säger Lall.

När det gäller att skydda konsumenternas integritet var enbart cookies inte särskilt sårbara för hackning och de gav användarna viss kontroll över sina data, enligt Froggatt.

– De ger faktiskt användarna en hel del kontroll genom att rensa webbläsarens cacheminne, eller att använda blockerare, särskilt jämfört med enhets-ID och IP-adress, säger han. 

På vissa sätt innebär nyare metoder för att spåra konsumenttrender att ansvaret flyttas från individen till de företag som driver de slutna systemen, säger Froggatt. 

– Om man tittar på historiken med massiva dataintrång så bådar det inte gott för användarna. Åtminstone bör inte data som används av annonsörer och ad tech-leverantörer innehålla mycket mer än demografiska data, surf-/köphistorik och kanske vissa platsdata, jämfört med kreditkort, lösenord och andra data som läckt ut tidigare.

Ökat konsumentskydd

I november varnade den brittiska myndigheten Information Commissioner’s Office landets största webbplatsleverantörer för att de måste följa dataskyddslagar som kräver att de tillåter användarna att ”avvisa alla” eller ”acceptera alla” reklamcookies. Webbplatser kan fortfarande visa annonser när användarna avvisar all spårning, men de får inte skräddarsy dem efter den person som surfar.

”Vår undersökning visar att många människor är oroade över att företag använder deras personuppgifter för att rikta annonser till dem utan deras samtycke”, sa Stephen Almond på ICO i ett uttalande.

”Spelmissbrukare kan få erbjudanden om betting baserat på deras surfvanor, kvinnor kan få upprörande annonser om bebisar kort efter missfall och personer som utforskar sin sexualitet kan få annonser som avslöjar deras sexuella läggning”.

Klaus Miller, professor i marknadsföring vid HEC Paris, genomförde tillsammans med andra akademiker en studie förra året som tyder på att de föreslagna cookie-restriktionerna kan leda till förluster av annonsintäkter. I USA uppgick intäkterna från onlineannonsering till 209,7 miljarder dollar 2022.

USA väntas inte göra några större avtryck, även om det pågår vissa statliga insatser för att bättre skydda konsumentdata från invasiva cookies och annan spårningsprogramvara.

– När det gäller USA är det egentligen upp till delstaterna, utsikterna för en nationell lag om digital integritet är nästan obefintliga, säger Froggatt.

Begränsningar av cookies kan dock vara ineffektiva i det långa loppet ändå. Det beror på att majoriteten av webbläsaranvändarna (72 procent) raderar sina cookies inom ett år, och upp till 85 procent raderar dem inom två år.

Förutsatt att Google fullföljer sin avveckling av cookies (med full avveckling i slutet av 2024), är det osannolikt att andra länder kommer att införa reglerande kontroller, säger IDC:s Lall.

– Hjulen är redan i rörelse för att ta bort cookies, så jag är inte säker på att mer reglering kommer att hjälpa. Med detta sagt ökar lagstiftningen (i USA och överallt) när det gäller att skydda konsumenter och integritet. Detta är bredare än ”cookies” och är avsett att skapa en tydlig grund för förtroende.