В июле 2024 года Mozilla вместе с новой версией своего браузера Firefox представила технологию, которая называется Privacy-preserving attribution (атрибуция с сохранением приватности) и предназначена для отслеживания эффективности интернет-рекламы. Она включена по умолчанию в Firefox 128.
Это довольно быстро привлекло внимание поборников онлайн-приватности и привело к появлению в новостях заголовков вроде «Теперь и Mozilla начинает продавать данные пользователей». Шумиха поднялась настолько серьезная, что техническому директору Firefox Бобби Холли пришлось объясняться с пользователями Reddit, что же на самом деле Mozilla сделала и зачем.
Самое время разобраться более подробно, в чем суть технологии Privacy-preserving attribution, зачем она вообще нужна и почему в Mozilla решили представить ее именно сейчас.
Google Ad Topics и «История ссылок» в Facebook*
Начну с предыстории. Как вы, возможно, помните, разработчики самого популярного в мире браузера — Google Chrome — еще с 2019 года вынашивают планы по полному отключению поддержки сторонних cookies.
Эта технология уже третье десятилетие повсеместно используется для отслеживания действий пользователей в Интернете. Так что, с одной стороны, она является основой индустрии онлайн-рекламы, а с другой — главным инструментом нарушения приватности пользователей.
В качестве замены сторонних cookies некоторое время назад Google представила собственную разработку под названием Ad Topics. В рамках этой технологии отслеживание пользователя происходит на основе истории браузера Chrome и истории взаимодействия пользователя с приложениями в Android. Предполагалось, что благодаря внедрению Ad Topics поддержку сторонних cookies в браузере отключат уже во второй половине 2024 года.
Другой крупнейший игрок индустрии цифровой рекламы, компания Meta**, которая также полагается на сторонние куки, придумала собственный вариант слежки за пользователями. Это так называемая История ссылок: все внешние ссылки в мобильных приложениях Facebook* теперь открываются во встроенном в приложение браузере, где компания все еще может следить за действиями пользователя.
Что в итоге получается: в результате отключения поддержки сторонних cookies преимущество получают те участники рынка интернет-рекламы, у которых есть какое-либо крупное, полностью контролируемое ими цифровое пространство: самые популярные в мире браузер и ОС в случае Google, самая популярная соцсеть в случае Meta**. Более мелкие игроки при этом оказываются в зависимом положении.
При этом данные пользователей все равно продолжают собирать в промышленных масштабах. И делают это все те же компании, к которым обычно и предъявляют основные претензии с точки зрения нарушения приватности, — Google и Facebook*.
Возникает вопрос: а нельзя ли разработать какой-то механизм, который одновременно позволит рекламодателям отслеживать эффективность рекламы и при этом не предполагает массовый сбор данных пользователей? Ответом именно на этот вопрос и является технология Privacy-preserving attribution.
Система приватного агрегирования Prio
Чтобы лучше понять историю этой технологии, придется начать немного издалека. В 2017 году криптографы Генри Корреган-Гиббс и Дэн Боне из Стэнфордского университета представили научную работу. В ней они описали ориентированную на приватность систему сбора агрегированной статистики, которую они назвали Prio.
Если очень сильно упростить, то в основе Prio лежит следующий механизм. Допустим, вас интересует средний возраст некоторого количества пользователей, но вы хотите сохранить их приватность. Вы ставите две (или более) копилки и просите каждого из пользователей отсчитать соответствующее их возрасту количество монеток и, никому не показывая, случайным образом разложить эти монетки по разным копилкам.
Далее вы ссыпаете монеты из копилок в одну кучу, пересчитываете и делите на количество пользователей. В результате вы получаете искомое значение среднего возраста пользователей. При этом если хотя бы одна из копилок работает честно (то есть никому не рассказывает о том, что в нее попадает), то невозможно установить, сколько именно монеток разложил по копилкам отдельно взятый пользователь.
Поверх этого базового механизма в Prio положено много криптографии, защищающей информацию от перехвата и позволяющей обеспечить достоверность полученных данных. Она не дает пользователям ради той или иной выгоды подсовывать в систему ответы, которые могут испортить общее значение. Однако основная идея — в использовании двух и более агрегаторов, собирающих случайные доли необходимой информации.
У алгоритмов Prio есть еще одна важная особенность: они позволяют обеспечить гораздо более высокую производительность системы по сравнению с прежними подходами надежного анонимизированного сбора данных — в 50–100 раз, по утверждению авторов работы.
Протокол DAP — Distributed Aggregation Protocol
В Mozilla заинтересовались Prio еще в 2018 году. Первым результатом этого интереса стала разработка экспериментальной системы Firefox Origin Telemetry, основанной на Prio. Примечательно, что данная система была предназначена для приватного сбора телеметрии об эффективности борьбы браузера с рекламными трекерами.
Далее, в феврале 2022, Mozilla представила разработанную совместно с Meta** технологию IPA (Interoperable private attribution), которая, судя по всему, в итоге и стала прообразом PPA, Privacy-preserving attribution.
В мае 2022 года был опубликован нулевой драфт основанного на Prio протокола DAP, Distributed Aggregation Protocol. Авторами этого драфта стали представители некоммерческих организаций Mozilla и Internet Security Research Group (ISRG), хорошо известной по проекту Let’s Encrypt, демократизировавшему использование HTTPS, а также двое сотрудников Cloudflare.
Параллельно с работой над протоколом в ISRG занимались созданием основанной на DAP системы сбора анонимизированной статистики — этот проект получил название Divvi Up. Данная система в первую очередь предназначена для сбора различной технической телеметрии, которая необходима для улучшения работы сайтов, — например, времени загрузки страницы.
Наконец, в октябре 2023 года Divvi Up и Mozilla анонсировали, что они ведут совместную работу над внедрением протокола DAP в браузер Firefox. В рамках этой работы была создана система из двух агрегаторов, один из которых работает на стороне Mozilla, а второй — на стороне Divvi Up.
Как работает технология Privacy-preserving attribution (PPA)
Именно последняя система, совместно созданная Divvi Up и Mozilla, в итоге и используется технологией Privacy-preserving attribution на данный момент. Пока это всего лишь эксперимент, в котором участвует ограниченное количество сайтов.
Механизм ее работы в общих чертах таков:
- Веб-сайт просит браузер запомнить, что произошел успешный показ определенной рекламы.
- В случае если пользователь совершает некие действия, которые сайт считает полезными (например, покупает товар), то сайт просит браузер рассказать ему, видел ли данный пользователь рекламу.
- Браузер ничего не рассказывает сайту, а отправляет информацию с помощью протокола DAP на серверы агрегирования.
- Все подобные отчеты накапливаются в агрегаторах, а сайту периодически отправляется сводка.
В итоге сайт получает данные о том, что из X пользователей, увидевших определенную рекламу, полезные с точки зрения сайта действия совершили Y пользователей. При этом ни сайт, ни система агрегирования не имеют информации о том, кто были эти пользователи, что еще они делали в Интернете и так далее.
Зачем нужна технология Privacy-preserving attribution (PPA)
В ходе упомянутой в начале этого поста дискуссии на Reddit технический директор Firefox объяснил, чего они хотели добиться, представляя Privacy-preserving attribution вместе с новой версией своего браузера.
Точка зрения Mozilla примерно следующая. Онлайн-реклама, как минимум на данном этапе развития Интернета, является неизбежным злом. И в целом понятно желание рекламодателей иметь возможность измерять ее эффективность. Однако инструменты, которые используются для этого сейчас, совершенно не считаются с приватностью пользователей.
При этом любые разговоры о том, что следует как-то ограничить слежку за действиями пользователей, наталкиваются на протесты со стороны рекламщиков. Их аргументация состоит в том, что без сбора данных они лишаются инструмента для оценки эффективности интернет-рекламы.
Собственно, технология Privacy-preserving attribution является экспериментальным примером такого инструмента, который позволяет получать необходимую рекламщикам обратную связь, не собирая и не храня при этом информацию обо всем, что происходило с пользователями.
Если эксперимент покажет, что эта технология способна удовлетворить нужды рекламщиков, то у защитников приватности появится серьезный аргумент, который в дальнейшем можно использовать в разговорах с регуляторами и законотворцами. Грубо говоря, это докажет, что без тотальной слежки в Интернете действительно можно обходиться, поэтому ее следует ограничить законодательно.
Отключите сторонние cookies прямо сейчас
Так уж совпало, что почти сразу после шумихи вокруг новой технологии Mozilla в Google объявили о полном отказе от своих планов по отключению сторонних cookies. Похоже, эти нехорошие куки с нами еще надолго — и это немного напоминает те трудности, которые испытывает Microsoft с захоронением своего Internet Explorer.
Хорошая новость в том, что, в отличие от Internet Explorer, который действительно сложно выкорчевать из Windows, со сторонними cookies каждый пользователь может справиться самостоятельно. Все современные браузеры позволяют легко их отключить — у нас есть подробная инструкция о том, как это сделать.
Стоит иметь в виду, что отказ от «отказа от cookies» не означает конец Google Ad Topics — в компании собираются продолжить данный эксперимент. Так что рекомендую эту штуку тоже отключить: вот здесь подробно описано, как это делается в Chrome и Android.
А если вы пользуетесь мобильным приложением Facebook, то заодно стоит отключить и «Историю ссылок» по еще одной нашей инструкции.
Также для блокировки рекламных трекеров (далеко не все из которых используют cookies) можно и нужно использовать функцию «Защита от сбора данных» в наших подписках Kaspersky Standard, Kaspersky Plus и Kaspersky Premium.
Наконец, мы рекомендуем использовать наш бесплатный сервис Privacy checker, в котором мы собрали инструкции по настройке приватности для наиболее распространенных приложений, сервисов и соцсетей под разные ОС.
Что касается Privacy-preserving attribution, то эта технология выглядит весьма полезной. Если вы считаете иначе, вот здесь есть несложная инструкция, как ее отключить в Firefox. Но лично я предпочту поддержать развитие данной технологии, поэтому не собираюсь выключать ее в своем браузере.
* Facebook принадлежит компании Meta**, признанной экстремистской организацией в Российской Федерации.
** Компания Meta признана экстремистской организацией в Российской Федерации.