Cookiedøden er her!

Olof Törnqvist

– Vi gir deg seks strategier du kan bruke når cookiene blir mer og mer begrensede

Informasjonskapselen (cookie) – fryktet, lovfestet, hånet og nødvendig for å få det åpne, moderne nettet til å fungere. I dette blogginnlegget går vår gjesteskribent Olof Törnqvist fra Triggerbee gjennom hvilke cookieendringer nettleserne nå gjør og hvilke konsekvenser det får for deg. Vi gir deg også en liste over strategier du kan bruke når cookiene fungerer dårligere.

For ca. ett år siden ble online marketingsamfunnet rystet i grunnmuren da den populære nettleseren Safari rullet ut en oppgradering med en kraftig begrensning i hvordan cookies kan brukes.

Gjennom denne kunne nettstedseierne bare huske en besøkende i opptil syv dager. I enkelte tilfeller i bare én dag.

Og for et par dager siden meddelte Chrome at de innen et par år kommer til å avvikle støtte for tredjepartscookies, og at de allerede nå i februar slipper Chrome med innstramming av cookies.

Cookiedøden er ikke en fjern fremtid. Den er her nå.

Hva er cookies og hvorfor er det behov for dem?

Det meste av kommunikasjon som foregår på nettet bruker en protokoll som heter HTTP. Ved spesifiseringen av HTTP ble det bestemt at det er stateless, dvs. at det ikke finnes et minne mellom nettleser og nettserver.

I 1994 introduserte Netscape konseptet med cookies i nettleserne sine, som en slags workaround, som tillot et minne mellom nettleseren og serveren.

Ved hjelp av cookies kan du huskes på nettstedet, innstillingene dine lagres og varer du legger i handlekurven blir liggende. Cookies brukes også av ulike verktøy for å analysere trafikken og utarbeide statistikk.

Men først og fremst gjør cookies at nettet fungerer mer logisk og behagelig for deg som besøkende.

Det finnes to typer cookies: førstepartscookies og trejdepartscookies.

  • Førstepartscookies kan bare nettstedet som angir den lese. Det er den sikreste formen for cookie.
  • Tredjepartscookies kan angis og leses på andre domener. Hvis nettstedet ditt f.eks. bruker en videomodul fra YouTube, kan cookies angis som domenet youtube.com kan lese. De kan også benyttes for å spore besøkene dine på flere nettsteder.

Cookies og markedsføring

Webanalyse
Cookies brukes i webanalyse for å knytte sidevisninger sammen til «økter» og for å huske den enkelte besøkende mellom ulike økter. Google Analytics må bruke cookies for å lage statistikk over bruken av nettstedet.

Annonseadministrasjon
Du har sannsynligvis sett annonser for produkter fra nettsteder du nettopp har besøkt. Disse kalles for retargeting ads.

Det fungerer slik: Du besøker et nettsted som bruker et script fra et annonsenettverk – f.eks. Facebook eller Doubleclick. Dette scriptet kalles ofte for en «piksel» i annonsesammenheng. Pikselen angir en cookie med en unik identifikator. Det trenger ikke å være navnet eller e-postadressen din, men noe som kobler sammen nettopp din nettleser med besøk på ulike nettsteder. Detaljer om hva du gjør på nettstedet kan nå overføres til annonsenettverket.

Sikkerhetsproblemer med cookies
Dessverre har det vært mange sikkerhetsproblemer med cookies. I moderne nettlesere er flere av problemene adressert, men det gjenstår fortsatt utfordringer. Det grunnleggende problemet er «Cross-site-tracking», noe som innebærer at annonsenettverket sporer atferden din på tvers av flere nettsteder. Det er problematisk fordi det er vanskelig for en nettsurfer å forstå hva som skjer når det ikke er åpenhet, og det er vanskelig å velge bort å bli sporet på tvers av disse nettverkene.

GDPR, e-Privacy og CCPA
“Cookie-direktivet” (The Revised E-Privacy Directive) fra 2011 regulerer hvordan cookies kan brukes (altså ikke GDPR!).

EU har skissert en ny lovgivning, “E-Privacy Regulation”, som bl.a. skal modernisere regelverket for cookies, men denne har nylig blitt forkastet og arbeidet med en ny lovgivning må startes på nytt.

Raskere har det gått for California som vedtok loven CCPA (California Consumer Privacy Act). Denne dekker både GDPR og cookies i samme lov, og gjelder alle bedrifter som har bruttoinntekter på minst 25 millioner i året og som har besøkende fra California på sin side. Loven trådte i kraft 1. januar 2020. Det er enda uklart hvor strengt den vil bli fulgt.

Men kort oppsummert har ikke forsøk på å lovfeste cookies fungert foreløpig. Internett er globalt og det å få alle land til å komme sammen og i fellesskap forme en lovgivning for å regulere internett er dømt til å mislykkes fra starten av.

Som en del av dette, og i takt med at brukernes integritet online har kommet høyere opp på agendaen, har nettleserne begynt å adressere problemene med cookies og tracking.

Safari har gått mest drastisk til verks, og lanserte for to år siden det som ble kalt Intelligent Tracking Prevention.

La oss se nærmere på de forskjellige nettlesernes initiativer:

Nettlesernes initiativer for å forbedre sikkerheten

Chrome
Firefox og Safari har lenge hatt tredjepartscookies avslått som standardinnstilling. Google har tidligere ikke fulgt etter, siden annonsevirksomhetes deres ble favorisert av tredjepartscookies. Men nå i januar gikk de ut og erklærte at de kommer til å fase ut tredjepartscookies i løpet av to år.

I tillegg vil man i løpet av bare noen få uker adressere en spesiell svakhet som kalles for Cross Site Request Forgery. Løsningen er at utviklerne av nettstedet velger hvilke cookies på nettstedet som skal nås fra tredjepartsmoduler, og dermed beskyttes andre mer sensitive cookies.

Dette gjøres ved å innføre en ny attributt på cookien som kalles for SameSite. Den kan ha verdien «strict», «lax» eller den kan være tom.

John Wilander på Webkit mener at Chromes strategi med SameSite er et ineffektivt tiltak mot cross domain tracks, men anerkjenner likevel Chromes vilje til å handle.

Allerede i dag kan du stille inn nettleseren din til å benytte seg av SameSite. Googles løsning ventes å bli lansert i Chromes version 80, som er forventet i mars 2020. Hvis du er eier av et nettsted, så bør du teste at nettstedet ditt er kompatibelt allerede nå.

Safari
Når Safari først introduserte Intelligent Tracking Prevention – ITP for snart to år siden, var ikke hensikten å drepe cookien. Målet var å begrense annonsenettverk slik som f.eks. Googles DoubleClick, Criteo og Facebook, fra cross-site tracking.

Opprinnelig innebar ITP bare en begrensning av tredjepartscookies, noe som ikke påvirket så mange andre enn annonsenettverkene negativt. Firefox har jo også allerede stengt for tredjepartscookies.

Men adtechselskapene fant raskt andre måte å omgå det på. I en senere oppdatering av ITP prøver Safari å identifisere hvilken domener som bruker cross-domain tracking, og begrense bruken av cookies ekstra hardt mot dem. For å lykkes med dette bruker Safari machine learning-analyse på trafikken og flagger deretter domenene.

Adtech-selskapene fortsette å finne omveier rundt begrensningene, noe som fører til at Safari slipper ny versjon hvor cookiebegrensningene skjerpes ytterligere.

Det er en katt og mus-lek mellom techgigantene, som på samme tid ga umiddelbare og merkbare konsekvenser for mange applikasjoner.

Det er en katt og mus-lek mellom techgigantene, som på samme tid ga umiddelbare og merkbare konsekvenser for mange applikasjoner.

Versjon 2.1 av ITP ble sluppet i februar 2019, og reduserte levetiden for førstepartscookies som ble opprettet via Javascript. Dette var et hardt slag for en rekke andre applikasjoner som egentlig ikke var målet for ITP, men som ble en slags sideskade – ITPs Collateral Damage.

 

Svensken John Wilander på Webkit er en av ingeniørene bak ITP.

Hvilke andre typer tjenester har ITP påvirket negativt?

Det finnes en rekke applikasjoner som påvirkes av Safaris krig mot Cross-site-trackers, som Safari selv omtaler som Unintentional Effects av ITP:

Web Analytics
Analyseverktøy som Google Analytics påvirkes på flere måter. Google Analytics’ standardinnstilling er å huske en besøkende i to år. Gjennom ITP husker du bare en Safari-bruker i syv dager. En besøkende som besøker nettstedet ditt hver åttende dag regnes altså som en ny og ukjent besøkende hver gang. Antall «Users» i Google Analytics kommer derfor til å øke betraktelig. Normalt er vi glade for å få flere nye besøkende til våre nettsteder – det viser at vi gjøre noe bra. Men når tallene ikke stemmer, risikerer markedsførerne å dra feilaktige konklusjoner.

Cookiens korte levetid svekker også attribusjonsmodeller ved kjøp og konverteringer.

A/B-testing
ITP betyr enda et parameter å ta hensyn til når du gjennomfører A/B-tester, eller Randomized Controlled Trials som det formelt heter.

Når en besøkende får tildelt et eksperiment, dvs. en variasjon som er valgt av testprogramvaren, så må nettleseren huske hvilken variasjon hver unike besøkende har sett, slik at den besøkende kan få samme variasjon ved neste besøk.

For å oppnå dette, pleier denne informasjonen vanligvis å bli lagret i en cookie.

Å gjennomføre sesjonbaserte eksperimenter påvirkes ikke negativt av ITP, men dersom du gjør eksperimenter på brukernivå, som er bransjestandarden, så kan nye variasjoner i eksperimentet vises til en og samme bruker ved ulike besøk, noe som gjør det vanskeligere å trekke konklusjoner.

Andre løsninger kan være å implementere serverside cookies i stedet, eller bruke et Identity Layer (se lenger ned) og benytte bruker-IDen som unik identifikator.

Single-Sign-On
Å kunne logge på via en tjeneste og være innlogget på flere domeneadresser kan løses gjennom «Single-Sign-On»-teknologi. Det brukes ofte når en organisasjon administrerer påloggingen til forskjellige tjenester og ressurser, f.eks. interne og eksterne portaler m.m. Gjennom ITP reduseres påloggingstiden for tjenestene til maksimalt én dag.

Marketing automation
Gjennom Marketing Automation-produkter som Eloqua og Hubspot kan du spore aktiviteter hos lead og kunder for å vurdere interesse og timing.

En kjøpsreise innen B2B kan ta flere måneder, eller til og med flere år. Å vite om et lead besøkte nettstedet ditt for to måneder siden eller ikke er en av de avgjørende beregningsmodellene i Marketing Automation-systemet. Hvis noen som laster ned et whitepaper kommer tilbake til nettstedet en måned senere, så skal det ringe en bjelle hos selgerne. En cookie-begrensning på syv dager reduserer kvaliteten på den typen leadscoring og sporing betraktelig.

Tilpasningsverktøy
Å tilpasse nettstedets innhold med utgangspunkt i besøkende er en viktig taktikk for å kunne tilby de besøkende en bedre opplevelse og øke konverteringsgraden.

Med et verktøy som lar deg tilpasse webopplevelsen, kan du rette kampanjer, budskap og innhold på nettstedet mot ulike segmenter.

Segment kan defineres som f.eks. om du liker herreklær, om du tidligere har vært kunde, om du har noe som ligger i handlekurven, om du ikke har gitt samtykke enda, om du liker å lese en viss type artikler, eller hva andre som også ser på nettopp dette produktet har handlet tidligere.

Eieren av nettstedet kan tilpasse nettstedet til hvert enkelt segment og skape 1-til-1 kommunikasjon.

Cookies er viktig for å kunne huske den besøkende over tid og matche mot enten faste regeldefinerte segmenter eller segmenter generert av maskinlæringsmodeller.

Strategier i en cookieløs verden

Heldigvis finnes det løsninger og workarounds, og nå skal vi se nærmere på noen av dem.

Løsning #1: Bytt til servercookies
Det er cookies som angis via JavaScript API som berøres av ITP. En workaround er derfor å bytte til å angi cookies via serverside. Det er rotete og slitsomt, det går ikke lenger an å implementere script via verktøy som TagManager, men hvis bedriften din har tilgang på webutviklere er det en forholdsvis håndterbar løsning.

En av forventingene til mange markedsføringsprodukter er at det skal være mulig å installere dem forholdsvis enkelt, som regel ved å legge til et script på nettstedet.

Å kreve utviklingstid fra backendutviklere punkterer effektivt muligheten til å bruke disse produktene for mange bedrifter.

Du kan også bruke tredjepartsløsninger som Cookie Saver – cookiesaver.io, som er en løsning du kan installerer via TagManager og som automatisk konverterer dine javascriptcookies til serversidecookies.

Løsning #2: Bruk subdomener
En måte å bruke markedsføringsprodukter som er avhengige av cookies på er å sette opp et subdomene for de respektive produktene og angi cookies på nivået som felles for subdomenene.

For selskaper som jobber med innholdsmarkedsføring er det ikke uvanlig å utvikle innholdshubber direkte i MA-plattformen på eget subdomene, f.eks. content.minbedrift.no.

Løsning #3: Kunnskap
Internett og teknologien endrer seg raskt, og du må henge med for å kunne forstå dine egne data. Hvis du f.eks. ser på Safaribrukere i webanalyse og lurer på hvorfor det er så mange unike brukere, så kan du nå, ved hjelp av f.eks. dette blogginnlegget, forstå hva det skyldes og unngå å trekke feilaktige konklusjoner.

Egentlig er ikke cookies som forvinner et nytt problem ut ifra et analyseperspektiv, det var allerede mange brukere det ikke gikk å følge på en god måte med cookies. Personer som besøkte siden via ulike devices er et klassisk eksempel, men det kan også være noen som renser cookies i blant, eller bare ulike profiler/ browsers ved ulike besøk fra samme bruker.

Det store som har skjedd nå er snarere at du ikke lenger kan feie det under teppet og fortsatt hevde at du jobber brukersentrert.

Det store som har skjedd nå er snarere at du ikke lenger kan feie det under teppet og fortsatt hevde at du jobber brukersentrert. Analysedata er sjelden (om noensinne) perfekt. Det er ikke en unnskyldning for å følge magefølelsen, tvert imot stiller det krav til å forstå dataenes begrensninger og muligheter, og at de visualiseres på en måte som gjør at uregelmessigheter ikke skjules.

En av de beste metodene for å forstå brukeren på, med tanke på at ulike datakilder har ulike styrker, er datatriangulering, forteller Patrik Matell hos Conversionista. En kombinasjon av ulike kilder kan gi et helhetlig bilde av hva som faktisk foregår. Hvis du kombinerer din cookiebaserte, men generelle gruppe brukere med data fra dine innloggede brukere og kvalitativ user research, så kan det gi et bedre bilde av hva som skjer og hvordan man kan tolke helheten.

Løsning #4: Zombie Cookie – ANBEFALES IKKE
Det finnes tekniske metoder man kan benytte for å gjenskape slettede cookies. Det fungerer ved å bruke flere ulike lagringsområder i nettleseren samtidig, som f.eks. cookies og «localStorage». Hvis en cookie slettes, erstattes verdien med en gang av verdien i localStorage, og omvendt. Cookien blir en slags zombie som stadig gjenoppstår. Ulempen ved denne strategien er at man ikke tar hensyn til nettsurferens preferanser, og risikerer å bryte med cookielovgivningen.

Løsning #5: Fingerprinting – USIKKER METODE
Fingerprinting er en teknikk hvor man samler ulike egenskaper ved en nettbruker, som IP-nummer, skjermstørrelse samt installerte skrifttyper, og bruker disse egenskapene til å danne en profil av brukeren. Ofte får du frem en unik profil – et slags fingeravtrykk.

Mange adtechselskaper bruker fingeraprinting i dag. Mozilla opprettholder en liste over selskaper som bruker fingerprinting.

Dette er kontroversielt ettersom det ikke finnes en måte for nettbrukere å motsette seg denne identifiseringen eller profileringen. Det er en «svart boks» som bare adtechselskapet har tilgang til.

Dette står i motsetning til cookies hvor brukeren selv kan slette sine cookies og til en viss grad styre selv. Det finnes ingen metode mot fingerprinting.

Er fingerprinting veien videre for deg? Nei, delvis ut ifra et etisk perspektiv og at det er teknologi som nettleserne har bestemt seg for å forsøke og forhindre. Safari ble nylig sluppet med innbygget «Fingerprint Defense» aktivert, Firefox har også innebygget forsvar mot fingerprinting. Annonsevennlige Google har imidlertid ikke kunngjort at de vil forhindre fingerprinting i Chrome. Ifølge Mozillas liste bruker Google fingerprinting selv.

Løsning #5: Bruk innlogging
Identifiering er du kanskje allerede vant med fra matbutikkene. Uten å nøle, lar du ICA scanne førerkortet ditt ved hvert kjøp. Data som preferanse på varemerker, type produkter, størrelse på husholdningskassen, hyppighet på innkjøp og forekomst av barn i husholdningen registreres og kobles opp mot dine personopplysninger. Til gjengjeld får du rabatter og tilpassede tilbud.

Vi kan også lære av Amazon. De har vært tydelige på at data og forståelse for sine kunders behov og atferd er grunnlaget for å forbedre virksomheten. Det følger mange fordeler med å logge inn og bli Amazon Prime-medlem.

Virksomheter som ikke analyserer hva kundene deres er interessert i, eller som ikke er i stand til å tilpasse kommunikasjonen til hver enkelt konsuments behov, må måle seg mot de som kan gjøre det.

Virksomheter som ikke analyserer hva kundene deres er interessert i, eller som ikke er i stand til å tilpasse kommunikasjonen til hver enkelt konsuments behov, må måle seg mot de som kan gjøre det.

På nettsider hvor brukeren logger inn trengs ingen cookie for å identifisere brukeren, ettersom en vedvarende bruker-ID allerede eksisterer gjennom brukernavnet. Den kan deretter brukes som bruker-ID i webanalyse og på personaliseringsplattformene (så lenge brukeren har samtykket til dette).

Innloggingene kan også gjøres smidigere og smartere ved å f.eks. støtte sosiale logins.

Medium ønsker de besøkende velkommen til å logge inn for en bedre, tilpasset webopplevelse.

Løsning #6: Identity Layer
Ved å legge til et Identity Layer på nettstedet ditt, dvs. der hvor en rekke ulike teknologier brukes sammen for å identifisere den besøkende, f.eks. innlogging, kobling til skjemaer og checkouts, kan du få en svært god forståelse av målgruppen din i sanntid.

Ved å bruke et Identity Layer får du også en viktig fordel fremfor cookies: støtte for flere nettleserenheter.

Konsumenter i dag bruker mer enn én nettleserenhet før hvert kjøp. Vi bruker mobiltelefon, data og kanskje et nettbrett og jobbdata, og mens cookies blir lagret i nettleseren på én enhet, kan vi gjennom å være innlogget på nettstedene identifisere hver besøkende gjennom alle enhetene. Dette betyr at applikasjoner som webanalytics, personalisering, A/B-testing, lead generation algoritmer blir bedre.

Et Identity Layer gir deg derfor langt flere datapunkter på hver bruker og konsument enn ved at du utelukkende baserer deg på cookies som kun er koblet til én enhet.

Konklusjon

I møte med nye privacy acts og cookiebegrensninger som ITP, blir det en utfordring å jobbe med tredjepartsdata for å administrere innhold, annonser og til og med å jobbe med markedsføringsverktøy.

En av de grunnleggende, kulturelle egenskapene ved nettet er at det er ment å være åpent. Det er denne egenskapen som har gjort det mulig for så mange mennesker å lage innhold, apper og opplevelser der. Dessverre har dette også medført ulike muligheter for å bruke nettet på en etisk dårlig måte, det er derfor helt rimelig og i grunn positivt at nettleserne nå adresserer dette.

Det å innføre større restriksjoner slik som Safari har gjort, innebærer også at nettet ikke lenger fungerer på en god og åpen måte. Når nettstedseiere ikke kan jobbe med nettstedet deres på en datadreven måte gjennom f.eks. webanalyse, A/B-testing og personalisering, så blir nettet som kanal svekket.

Vinnerne blir de store tech-gigantene Google, Facebook, Apple og Amazon. Der er du alltid innlogget, og dermed påvirker cookiebegrensningene dem i liten grad. Du forsyner dem fortsatt med tusenvis av datapunkter hver dag.

Skyttergravskrigen som utspiller seg mellom Google, Facebook og Apple fører til at nettet blir dårligere og at våre digitale liv i stedet føres inn i deres kanaler. Og det er du som blir berørt, du som jobber på det åpne nettet, et miljø hvor du som gründer har mulighet til å kommunisere, nå ut til din målgruppe, selge varene dine og markedsføre tilbudene dine. Det som har vært årsaken til internetts suksess siden 1994.

Men fortvil ikke – hvis du jobber smart, skaffer deg kunnskap, handler og justerer webimplementeringene dine, f.eks. ved å bruke de anbefalte tipsene over, så har du en mulighet til å ikke bare være relevant i fremtiden, men til og med være bedre enn dine konkurrenter.

Jeg og teamet mitt på Triggerbee jobber nå aktivt med å skape forutsetninger for at svenske og internasjonale bedrifter skal kunne jobbe med personalisering basert på førstepartsdata, som gir bedre kundeopplevelser på nett i en verden hvor vi som konsumenter er lei av upersonlige, ikke-relevante budskap.

Gi gjerne en lyd fra deg om du har feedback eller vil være med å hjelpe.

Olof Törnqvist
Grunnlegger og produkteier hos Triggerbee, som hjelper bedrifter med å implementere personalisering og CRO-løsninger gjennomsin egen programvare Triggerbee Personalisation Platform.

Se også disse blogginnleggene

Gå inn i det nye tiåret med Atomic Research

Gå inn i det nye tiåret med Atomic Research

By Johanna Norberg & Magdalena Sjöstrand 9 januar, 2020

Alt du trenger å vite om Atomic Research

Alt du trenger å vite om Atomic Research

By Johanna Norberg & Magdalena Sjöstrand 4 desember, 2019