接着这个帖子: http://ruby-china.org/topics/7749#reply18
第一方 cookie 和第三方 cookie
第一方 cookie 就是当前域种的 cookie,而第三方 cookie 是指你在浏览的网页里内嵌第三方的 iframe,iframe 域种的 cookie。
这里需要说明一下,像 Google Analytics 使用的是第一方 cookie,原理同 JSONP。普通浏览器很难阻止。可以通过把 http://www.google-analytics.com 加到 hosts 里面的办法来防止被跟踪。
evercookie
理论上跟踪用户需要满足两个条件:
- 可以在客户端自动回传
- 可以在客户端存储
其中,1 又不是必要的,因为可以通过 javascript 主动推送到服务端。
下面是 evercookie 使用的跟踪方式:
- Standard HTTP Cookies
- Local Shared Objects (Flash Cookies)
- Isolated Storage Silverlight
- Storing cookies in RGB values of auto-generated, force-cached PNGs using HTML5 Canvas tag to read pixels (cookies) back out
- Storing cookies in and reading out Web History
- Storing cookies in HTTP ETags
- Storing cookies in Web cache
- window.name caching
- Internet Explorer userData.aspx) storage
- HTML5 Session Storage
- HTML5 Local Storage
- HTML5 Global Storage
- HTML5 Database Storage via SQLite
其中 Etags 和 PNG RGB 值的方式很有意思,防不胜防啊!据调查Hulu.com 就使用了 Etag 跟踪用户。
好像还有一个段子是这样的:
A:你们这网站的广告怎么都是色情内容啊? B:我们使用的是 Google AdSense,它会根据您的点击行为为您推荐您感兴趣的内容..
@hooopo 三方 cookie 并不仅仅是通过 iframe,有时候在页面内放入 1*1 的 pixel,这个图片的域名和当前访问域名不一样,给的就是三方 cookie,通过这个图片设置的 cookie 所属的域和当前域名并不相同,所以称为三方 cookie,有时候为了跟踪客户,我们经常要做一方 cookie 和三方 cookie 的一个 mapping,有时候叫做 user mapping,可以用来给客户做一些定向的投放。
其实这里面有很多讲究,还有在跳转的时候设置一些 cookie 和 mapping,这就是 google 为何每个搜索结果都要放一个跳转。
我记得我们做 rtb 的时候,yahoo rightmedia 的人曾经给我们一个页面,只要访问那个页面,里面可以给出他们对你的一些分析,都是 cookie 跟踪的一些结果,比如购物习惯啊,年收入范围啊之类,很有趣,不知不觉中,你就被人 track 了
