Cookiedöden är här!

Olof Törnqvist

– vi ger dig 6 strategier som du kan använda när kakorna blir allt mer begränsade

Kakan – fruktad, lagstadgad, bespottad och nödvändig för att få den öppna moderna webben att fungera. I denna bloggpost går vår gästskribent Olof Törnqvist från Triggerbee igenom vilka cookie-förändringar webbläsarna nu gör och vilka effekter det får för dig. Vi ger dig också en lista på strategier du kan använda när kakan fungerar allt sämre.

För ca ett år sedan sedan skakades online marketing-communityn i sina grundvalar när den populära webbläsaren Safari rullade ut en uppgradering med en kraftig begränsning av hur cookies får användas.

Genom den kunde webbplatsägare bara komma ihåg en besökare i upp till sju dagar. I vissa fall bara i en dag.

Och för ett par dagar sedan berättade Chrome att man inom ett par år kommer avveckla stöd för tredjepartscookies och att man redan nu i februari släpper Chrome med åtstramningar av cookies.

Cookiedöden är inte en avlägsen framtid. Den är här nu.

Vad är kakor och varför behövs de?

Den mesta kommunikation som sker på webben använder ett protokoll som heter HTTP. När man specificerade HTTP så bestämdes det att det är stateless, d.v.s. det finns inget minne mellan webbläsare och webbserver. Om du lägger något i varukorgen så är det borta när du laddar om sidan.

1994 introducerade Netscape konceptet med cookies i sin webbläsare, som ett slags workaround, vilket möjliggjorde ett minne mellan webbläsaren och servern.

Med hjälp av kakor kan du bli ihågkommen på sajten, dina inställningar sparas och varor som du lägger i varukorgen ligger kvar. Kakor används också av olika verktyg för att analysera trafiken och sammanställa statistik.

Men primärt möjliggör kakor både för att få webben att fungera mer logiskt och bekvämt för dig som besökare.

Det finns två typer av kakor: förstapartscookies och tredjepartscookies.

  • Förstapartscookies får bara webbplatsen som sätter den läsa. Det är den säkraste typen av cookie.
  • Tredjepartscookies kan sättas och läsas på andra domäner. Om din webbplats t.ex. använder en videomodul från Youtube så kan cookies sättas som domänen youtube.com får läsa. De kan även användas för att tracka dina besök på flera webbplatser.

Kakor och marknadsföring

Webbanalytics
Cookies används i webbanalytics för att knyta ihop sidvisningar till “sessioner” och komma ihåg enskilda besökare mellan olika sessioner. Google Analytics behöver använda cookies för att skapa sin statistik över användandet på webbplatsen.

Styrning av annonser
Du har säkert varit med om att se annonser på produkter från webbplatser som du var inne på nyss. Det kallas för retargeting ads.

Det fungerar så här: Du besöker en sajt som använder ett script från ett annonsnätverk – ex. Facebook eller Doubleclick. Detta script kallas ofta för en “pixel” i annonssammanhang. Pixeln sätter en kaka med en unik identifierare. Det behöver inte vara ditt namn eller e-postadress, utan något som kopplar ihop just din webbläsare med besök på olika sajter. Detaljer om vad du gör på webbplatsen kan nu överföras till annonsnätverket.

Säkerhetsproblem med cookies
Tyvärr har det funnits många säkerhetsproblem med cookies. I moderna webbläsare är flera adresserade men det finns fortfarande kvar utmaningar. Grundproblemet är “Cross-site-tracking” som innebär att annonsnätverk trackar ditt beteende över flera webbplatser. Det är problematiskt eftersom det är svårt för en webbsurfare att förstå vad som händer då det saknas transparens samt det är svårt att välja bort att bli spårad över dessa nätverk.

GDPR, e-Privacy och CCPA
“Cookie-direktivet” (The Revised E-Privacy Directive) från 2011 reglerar hur cookies får användas (alltså inte GDPR!).

EU har skissat på en ny lagstiftning “E-Privacy Regulation” som bl a ska modernisera regelverket för cookies, men den har nyligen blivit lagd i malpåse och arbete med en ny lagstiftning kommer att behöva påbörjas på nytt.

Snabbare har det gått för Kalifornien som stiftade lagen CCPA (California Consumer Privacy Act). Den täcker in både GDPR och cookies i samma lag och innefattar alla företag som har bruttointäkter på minst 25 miljoner per år och som har besökare från Kalifornien på sin sajt. Den har precis trätt i kraft nu 1 januari 2020. Det är ännu oklart hur strikt den kommer efterföljas.

Men sammanfattningsvis har försöken att lagstadga cookies inte fungerat. Internet är globalt och att få alla länder att samla sig och gemensamt ta fram en lagstiftning för att reglera internet är dömt att misslyckas redan från början.

Som ett led i det och i takt med att användares integritet online har lyfts högre upp på agendan har webbläsarna börjat adressera problemen med cookies och tracking.

Mest drastisk har Safari varit, som för två år sedan lanserade vad man kallade Intelligent Tracking Prevention.

Låt oss titta närmre på webbläsarnas olika initiativ:

Webbläsarnas initiativ för att förbättra säkerheten

Chrome
Firefox och Safari har sedan länge haft tredjepartskakor avstängt som default-inställning. Google har inte tidigare följt efter då deras annonsaffär varit gynnad av tredjepartscookies. Men nu i januari gick man ut och deklarerade att man kommer att fasa ut tredjepartscookies inom två år.

Man kommer dessutom inom bara några veckor att adressera en speciell svaghet som kallas Cross Site Request Forgery. Lösningen går ut på att utvecklarna av webbplatsen väljer vilka cookies på sajten som ska gå att komma åt från tredjepartsmoduler, och därmed skydda övriga känsligare cookies.

Man gör det genom att införa ett nytt attributet på cookien som man kallar SameSite. Den kan ha värdet “strict”, “lax” eller vara tomt.

John Wilander på Webkit menar att Chromes strategi med SameSite är en verkningslös åtgärd gentemot cross domain trackers, men välkomnar ändå att Chrome åtminstone agerar:

Redan idag kan du ställa in din webbläsare att använda sig av SameSite. Googles lösning beräknas lanseras i Chrome version 80 som väntas i mars 2020. Så om du är sajtägare bör du testa så att din webbplats är kompatibel redan nu.

Safari
När Safari först introducerade Intelligent Tracking Prevention – ITP för snart två år sedan så var syftet inte att döda cookien. Målsättning var att begränsa annonsnätverk såsom exempelvis Googles DoubleClick, Criteo och Facebook, från cross-site tracking.

Initialt innebar ITP endast en begränsning på tredjepartscookies, vilket inte påverkat så många andra negativt än just annonsnätverken. Firefox har ju också redan stängt av tredjepartscookies.

Men adtechföretagen hittade snabbt andra sätt att komma runt det. I en senare uppdatering av ITP försöker Safari identifiera vilka domäner det är som tillämpar cross-domain tracking och begränsa användandet av cookies extra hårt mot dem. För att lyckas med detta tillämpar Safari machine learning-analys på trafiken och flaggar domänerna därefter.

Adtech-bolagen fortsätter försöken att hitta omvägar förbi begränsningarna vilket leder till att Safari släpper ny version där cookiebegränsningarna stramas åt ytterligare.

Det är en katt-och-råtta lek mellan techjättarna som i ett slag gav omedelbara och kännbara konsekvenser sidoeffekter för många fler tillämpningar.

Det är en katt-och-råtta lek mellan techjättarna som i ett slag gav omedelbara och kännbara konsekvenser sidoeffekter för många fler tillämpningar.

Version 2.1 av ITP släpptes i februari 2019 och innebar att man kraftigt begränsade livslängden för förstapartscookies som skapades via Javascript. Detta innebar ett hårt slag för en rad andra tillämpningar som egentligen inte var måltavlan för ITP, utan blev ett slags sidoskador – ITPs Collateral Damage.

 

Svensken John Wilander på Webkit är en av ingenjörerna som ligger bakom ITP.

 

Vilka andra typer av tjänster har ITP påverkat negativt?

Det finns en rad tillämpningar som drabbas av Safaris krig mot Cross-Site-trackers, och som Safari själva betecknar som Unintentional Effects av ITP:

Web Analytics
Analyticsverktyg som Google Analytics drabbas på flera sätt. Google Analytics standardinställning är att komma ihåg en besökare i två år. Genom ITP så kommer man bara ihåg en Safari-användare i sju dagar. En besökare som besöker din sajt var 8:e dag räknas alltså som en ny okänd besökare varje gång. Antalet “Users” i Google Analytics kommer då att öka väldigt mycket. Normalt sett så är vi glada att få fler nya besökare till våra webbplatser – det visar att vi gör någonting bra. Men när siffrorna inte stämmer riskerar marknadsförare att dra felaktiga slutsatser kring sitt arbete.

Den korta livstiden på cookien försämrar även attribution-modeller vid köp och konverteringar.

A/B testning
ITP innebär ytterligare en parameter att ta hänsyn till när man genomför A/B tester eller Randomized Controlled Trials som det formellt heter.

Då en besökare tilldelas ett experiment, d.v.s. en variation som är utvald av dem från testprogramvaran, så behöver webbläsaren komma ihåg vilken variation varje unik besökare sett. Så att besökaren kan få samma variation vid nästa besök.

För att åstadkomma detta så brukar denna information sparas i en kaka.

Att genomföra sessionsbaserade experiment påverkas inte negativt av ITP men om du gör experiment på användarnivå, vilket är branschstandard, så kan nya versioner i experimenten visas för en användares vid olika besök vilket gör det svårare att dra slutsatser.

Andra lösningar kan vara att implementera serverside cookies istället, eller använda ett Identity Layer (se längre ned) och använda dess användar-ID som unik identifierare.

Single-Sign-On
Att kunna logga in via en tjänst och vara inloggad på flera domänadresser kan lösas genom s.k. “Single-Sign-On” teknik. Det används ofta när en organisation hanterar inloggningen mot olika tjänster och resurser, t.ex. interna portaler och extranät mm. Genom ITP kortas inloggningstiden för tjänsterna ned till max 1 dag.

Marketing automation
Genom Marketing Automation-produkter som Eloqua och Hubspot kan du spåra webbaktiviteter hos leads och kunder för att bedöma intresse och timing.

En köpresa inom B2B kan vara flera månader eller t o m flera år. Att veta om ett lead besökt din sajt för två månader sedan eller inte är en av de avgörande beräkningsmodellerna i Marketing Automation systemen. Om någon som laddar ned ett whitepaper kommer tillbaka till sajten en månad senare så ska det plinga till hos säljarna. En cookie-begränsning på 7 dagar försämrar kraftigt kvaliteten på den typen av leadscoring och tracking.

Personaliseringsverktyg
Att anpassa webbplatsens innehåll med utgångspunkt ifrån besökaren är en viktig taktik för att kunna erbjuda besökarna en bättre upplevelse och öka konverteringsgraden.

Med ett verktyg som låter dig personalisera webbupplevelsen så kan du styra kampanjer, budskap och innehåll på sajten mot olika segment.

Segment kan definieras som ex. om du gillar herrkläder, om du tidigare har varit kund, om du har kvar något i varukorgen, om du inte lämnat samtycke ännu, om du tycker om att läsa en viss typ av artiklar, eller vad andra som tittar på just denna produkt också har handlat tidigare.

Webbplatsägaren kan anpassa webbplatsen mot varje enskilt segment och skapa 1-till-1 kommunikation.

Cookies är viktigt för att kunna komma ihåg besökaren över tiden och matcha mot antingen fasta regeldefinierade segment eller segment genererade av maskininlärningsmodeller.

Strategier i en cookie-lös värld

Lyckligtvis finns det lösningar och workarounds och vi ska nu titta närmare på ett antal av dem.

Lösning #1: Byt till server-cookies
Det är de cookies som sätts via JavaScript API som är de som drabbas av ITP. En workaround är därför att byta till att sätta cookies via serverside. Det blir stökigt och jobbigt, det går inte längre att implementera script via verktyg som TagManager. Men om ditt företag har tillgång till webbutvecklare är det en förhållandevis hanterbar lösning.

En av förväntningarna på många marketingprodukter är att det ska gå att installera förhållandevis enkelt, oftast med att addera ett script till sajten.

Att kräva utvecklingstid från backendutvecklare punkterar effektivt möjligheten för många företag att använda dessa produkter.

Man kan också använda tredjepartslösningar som Cookie Saver – cookiesaver.io som är en lösning som du installerar via TagManager och som enligt egen utsago automatiskt konverterar dina javascript-cookies till serverside-cookies automatiskt.

Lösning #2: Använd subdomäner
Ett sätt att använda marketingprodukter som förlitar sig på cookies är att sätta upp en subdomän för respektive produkt och sätta cookies på nivån som delas mellan varje subdomän.

Exempelvis på bolag som arbetar med innehållsmarknadsföring så är det inte ovanligt att utveckla innehållshubbar direkt i MA-plattformen på egen subdomän, t.ex. content.mittföretag.se.

Lösning #3: Kunskap
Internet och teknologi förändras snabbt. Och du behöver hänga med för att kunna förstå din egen data. Om du t.ex. tittar på Safari-användare i webbanalys och undrar varför det är så många unika användare, så kan du nu, genom t.ex. denna bloggpost förstå vad det beror på och undvika att dra felaktiga slutsatser.

Egentligen är försvinnande cookies inte ett nytt problem ur analyssynpunkt, det fanns redan gott om användare som inte gick att följa på ett bra sätt med cookies. Personer som besökte sidan via olika devices är ett klassiskt exempel. Men det kan också vara någon som rensar cookies ibland eller bara olika profiler/browsers vid olika besök från samma användare.

Det stora som har hänt nu är snarare att man inte längre kan sopa det under mattan och ändå hävda att man arbetar användarcentrerat.

Det stora som har hänt nu är snarare att man inte längre kan sopa det under mattan och ändå hävda att man arbetar användarcentrerat. Analysdata är sällan (om någonsin) perfekt. Det är inte en ursäkt för att gå på magkänsla, tvärtom så ställer det krav på att förstå datans begränsningar och möjligheter och att den visualiseras på ett sådant sätt att oegentligheter inte döljs.

En av det kraftfullaste metoderna för att förstå användaren när olika datakällor har olika styrkor, är datatriangulering, berättar Patrik Matell på Conversionista. En kombination av olika källor kan ge en bild över vad som faktiskt händer. Om du kombinerar din korta Cookie-baserade men allmänna grupp användare med data för dina inloggade användare och kvalitativ user research så kan det ge en bättre bild över vad som händer och hur man skall tolka helheten.

Lösning #4: Zombiekaka – REKOMMENDERAS EJ
Det finns tekniska metoder som man kan tillämpa för att återskapa raderade cookies. Det fungerar genom att man använder flera olika lagringsytor i webbläsaren samtidigt, såsom exempelvis cookies och “localStorage”. Om en kaka raderas så ersätts värdet direkt av värdet i localStorage, och vice versa. Kakan blir en sorts zombie som hela tiden återuppstår. Nackdelarna med denna strategi är att man åsidosätter webbsurfarens preferenser och riskerar bryta mot cookie-lagstiftningen.

Lösning #5: Fingerprinting – TVEKSAM METOD
Fingerprinting är en teknik där man samlar olika egenskaper hos en webbanvändare såsom IP-nummer, skärmstorlek och installerade typsnitt och använder alla dessa egenskaper för att skapa en profil av användaren, och ofta får man fram en unik profil – ett slags fingerprint.

Många adtechföretag använder fingerprinting idag. Mozilla underhåller en lista över bolag som tillämpar fingerprinting.

Detta är dock kontroversiellt eftersom det inte finns ett sätt för webbanvändare att motsätta sig identifieringen eller profileringen. Det är en svart låda som endast adtechföretaget har tillgång till.

I motsats till cookies så kan ju användaren radera sina cookies och i viss mån styra själv genom cookieverktyg sajten. Men fingerprinting finns det ingen metod emot.

Är fingerprinting vägen fram för dig? Nej, dels ur ett etiskt perspektiv samt givet att det är en teknologi som webbläsarna har bestämt sig för att försöka förhindra. Safari släpptes nyligen med inbyggt “Fingerprint Defense” aktiverat och även Firefox har inbyggt försvar mot fingerprinting. Däremot har annonsvänliga Google inte aviserat att de kommer förhindra fingerprinting i Chrome. Enligt Mozillas lista så använder ju Google själv fingerprinting.

Lösning #5: Tillämpa inloggning
Identifiering kanske du redan är van vid i matbutikerna. Utan att tveka låter du ICA scanna ditt körkort vid varje köp. Data såsom typ av produkter, preferens av varumärken, storlek på hushållskassan, frekvens av inköp, förekomsten av barn i hushållet registreras och kopplas till dina personuppgifter. I utbyte får du rabatter och personaliserade erbjudanden.

Vi kan också lära av Amazon. De har varit tydliga med att data och förståelse för sina kunders behov och beteende är grunden till att kunna förbättra sin affär. Många fördelar gömmer sig bakom att logga in och bli Amazon Prime-medlem.

Verksamheter som inte analyserar vad deras kunder är intresserade av eller som saknar förmåga att kunna skapa anpassad kommunikation för varje konsuments behov kommer att behöva mäta sig mot de som kan göra detta.

Verksamheter som inte analyserar vad deras kunder är intresserade av eller som saknar förmåga att kunna skapa anpassad kommunikation för varje konsuments behov kommer att behöva mäta sig mot de som kan göra detta.

På webbplatser där användare loggar in behövs ingen kaka för att identifiera användaren, eftersom ett persistent användar-ID redan finns genom användarnamnet. Det kan då användas som användar-ID hos webbanalytics och personaliseringsplattformarna (så länge som användaren har lämnat samtycke för detta).

Inloggningarna kan också göras smidigare och smartare genom att t.ex. stödja sociala logins.

Medium bjuder in besökarna att logga in för att få en bättre, personaliserad webbupplevelse.

Lösning #6: Identity Layer
Genom att tillämpa ett Identity Layer på din sajt, d.v.s. där en rad olika teknologier används i kombination för att identifiera besökaren, t.ex. inloggning, koppling till formulär och checkouts, så kan du få en mycket god förståelse av din målgrupp i realtid.

Genom att applicera ett Identity Layer så får du dessutom en viktig fördel jämfört med cookies: stöd för flera surfenheter.

Konsumenter idag använder mer än en surfenhet före varje köp. Vi använder mobiltelefon, dator och kanske även surfplatta och jobbdator. Och medan cookies sparas på webbläsaren i en enhet så kan vi genom att vara inloggad på webbplatserna identifiera varje besökare genom alla dess enheter. Det betyder att tillämpningar som webbanalytics, personalisering, A/B testning, lead generation algoritmer blir bättre.

Genom ett Identity Layer får du därför flera hundra procent mer datapunkter på varje användare och konsument än genom att förlita sig enbart på cookies som endast är kopplat till en enhet.

Slutsats

I skenet av nya privacy acts och cookie begränsningar som ITP blir det en utmaning att arbeta med data från tredjepart för att styra innehåll, annonser och även arbeta med marketingverktyg.

En av de kulturella grundegenskaperna av webben är att det är tänkt att vara öppen. Det är denna del som har gjort det möjligt för så många människor att skapa innehåll, appar och upplevelser där. Det har dessvärre också inneburit att det finns olika möjligheter att använda webben på ett etiskt dåligt sätt. Det är därför helt rimligt och i grunden något positivt att webbläsarna adresserar detta.

Men att införa väldigt stora restriktioner som Safari har gjort innebär också att webben inte längre fungerar på ett bra och öppet sätt. När webbplatsägare inte kan arbeta med sin webbplats på ett datadrivet sätt genom ex. webbanalys, AB-testning och personalisering så blir webben som kanal försämrad.

Vinnarna blir de stora tech-jättarna Google, Facebook, Apple och Amazon. Där är du alltid inloggad och därmed påverkar cookie-begränsningarna dem i liten utsträckning. Du förser dem ändå med tusentals datapunkter varje dag.

Det skyttegravskrig som utspelas mellan Google, Facebook, Apple leder till att webben riskerar bli sämre och våra digitala liv istället leds in i deras kanaler. Och det är du som drabbas, du som verkar i den öppna webben som är en miljö där du som företagare har möjlighet att kommunicera, att nå ut till din målgrupp, sälja dina varor, marknadsföra dina erbjudanden. Det som varit grunden till internets framgång sedan 1994.

Men misströsta inte – om du jobbar smart, skaffar dig kunskap och agerar och justerar dina webbimplementeringar, t.ex. genom att använda de rekommenderade råden som är listade här ovan så har du en möjlighet att inte bara vara relevant även i framtiden utan bättre än dina konkurrenter.

Jag och mitt team på Triggerbee jobbar nu aktivt med att skapa förutsättningar för svenska och internationella företag att jobba med personalisering baserat på förstapartsdata som ger bättre kundupplevelser på webben i en värld där vi som konsumenter är trötta på opersonliga icke-relevanta budskap.

Har du feedback eller vill du vara med och hjälpa till så hör gärna av dig till mig.

Olof Törnqvist
Grundare och produktägare på Triggerbee, som hjälper företag implementera personalisering och CRO-lösningar genom den egna mjukvaran Triggerbee Personalisation Platform.

Läs även

Conversionista is open for business in The Netherlands.
Conversionista is open for business in The Netherlands. Read more.