Última actualización el 27 de abril de 2023 con detalles sobre cómo evitar el acceso a FPID en escenarios sin cookies.
Con Etiquetado del lado del servidorla comunidad de desarrolladores tiene la oportunidad de mejorar enormemente las capacidades de recopilación de datos de las plataformas de análisis de Google (Análisis common y Aplicación+Internet). La capacidad de construir nuestras propias plantillas es particularmente potente con un contenedor de servidor.
Sin embargo, no es como si Google estuviera simplemente sentado de brazos cruzados y viendo qué se le ocurre a la comunidad.
en el incorporado Cliente de análisis common plantilla en un contenedor de servidor, hay una opción para migrar a un Administrado por servidor Identificación del cliente.
Cuando se utiliza este Cliente en specific para enviar solicitudes de Google Analytics, el contenedor del Servidor introduce una nueva cookie que sólo es accesible desde el servidor net y no al navegador JavaScript. Esta cookie se llama FPID (Identificador de origen) de forma predeterminada. El valor almacenado en FPID se utilizará para configurar el Identificación del cliente en la solicitud a los servidores de Google.
En este artículo, le explicaré cómo funciona esto y cuáles son sus implicaciones para la recopilación y la seguridad de datos.
X
El boletín a fuego lento
Suscríbete al Boletín a fuego lento para recibir las últimas noticias y contenido de Simo Ahava en su bandeja de entrada de correo electrónico.
Cómo funciona
Asegúrese de revisar el guía principal para obtener una introducción al etiquetado del lado del servidor. Una comprensión de cómo Clientes y etiquetas El trabajo hará que seguir este artículo sea mucho más fácil.
Google Analytics utiliza el &cid Parámetro de URL en su solicitud HTTP de recopilación de datos para pasar el ID del cliente desde el navegador (o dispositivo) a los servidores de Google Analytics. Este ID de cliente persiste en una cookie de origen escrita (y leída) con JavaScript.
Con FPIDGoogle está pasando de la cookie accesible mediante JavaScript a una configurada en HTTP, que está aún más protegida con la HttpOnly bandera. La nueva configuración en Common Analytics Shopper le brinda un par de enfoques sobre cómo migrar (o no).
Gestionado por JavaScript: negocio como siempre
Cuando establece la configuración en el Cliente para Gestionado por JavaScriptel Cliente leerá la solicitud entrante como de costumbre, utilizará el &cid parámetro de la solicitud para establecer el ID de cliente en la solicitud saliente a Google Analytics y luego no hacer nada más. Entonces, si no desea utilizar esta nueva forma de almacenar el identificador del cliente, debe configurar la opción en Gestionado por JavaScript.
Administrado por servidor: nueva cookie HTTP
Sin embargo, cuando lo configuras en Administrado por servidorel Cliente ahora analizará el identificador de una nueva cookie y lo preferirá a lo que el navegador (o dispositivo) envía como valor de la &cid parámetro. La nueva cookie está escrita en el Set-Cookie Encabezado HTTP en la respuesta al navegador u otra fuente de purple.
En otras palabras, sin realizar ajustes (ver más abajo), el contenedor del Servidor generará un nuevo FPID cookie (si aún no existe) y utilícela para completar el ID de cliente de la solicitud saliente a los servidores de Google Analytics.
La cookie se configura con el HttpOnly flag, lo que significa que no es accesible desde el navegador JavaScript. Sólo el servidor net puede leer el valor de la cookie. Esto mitiga contra seguimiento entre sitiosya que las cookies propias legibles en JavaScript a menudo se reutilizan para crear perfiles entre sitios.
Configurar la cookie en la respuesta HTTP también la hace un poco más resistente frente a navegadores con medidas implementadas para reducir la utilidad de las cookies de JavaScript (consulte, por ejemplo, Apple’s Prevención de seguimiento inteligente).
Migración de JavaScript administrado a administrado por servidor
Para asegurarse de que el contenedor del servidor no comience a crear nuevos usuarios de Google Analytics en masa, puede seleccionar la opción Migrar desde el ID de cliente administrado de JavaScript opción.
Con esta opción, el Cliente Common Analytics continuará usando el valor de ID de cliente administrado de JavaScript unique hasta el momento en que el _ga La cookie se elimina o se restablece la ID del cliente. En ese momento, el sistema migrará a la nueva opción Administrado por servidor almacenada en el FPID Galleta.
Esto es lo que hace en detalle:
- SI la solicitud HTTP entrante no tiene la
FPIDgalleta pero tiene la&cidparámetro establecido en la solicitud, un nuevoFPIDLa cookie se crea con un hash del valor del&cidparámetro en la solicitud entrante. Este&cidEl valor se pasa a Google Analytics como ID de cliente, por lo que no se restablece el usuario. - SI la solicitud HTTP entrante tiene tanto el
FPIDgalleta y el&cidparámetro Y elFPIDhash se ha generado a partir de este preciso&cidparámetro, el valor del&ciden la solicitud entrante se pasa a Google Analytics como ID de cliente, por lo que no se restablece el usuario. - SI la solicitud HTTP entrante tiene la
FPIDcookie y no tiene la&cidparámetro O los valores difieren, entonces el hash almacenado enFPIDse envía a Google Analytics como ID de cliente. Este técnicamente “reinicia” al usuario, pero desde el&cidya tiene un valor diferente al que tieneFPIDse derivó originalmente, el usuario se habría reiniciado de todos modos.
Tenga en cuenta que el
FPIDhash generado a partir del&cidEl valor también incluye una semilla del lado del servidor, lo que hace imposible deducir elFPIDvalor del almacenado en el_gacookie usando código del lado del cliente.
Si estos hits enviados por el contenedor del servidor se recopilan en un nuevo propiedad de Google Analytics, no tiene sentido habilitar la opción de migración, ya que no habría usuarios preexistentes. Sólo usa el Administrado por servidor opción sin marcar la selección de migración.
Por otro lado, si comienza con una configuración administrada por servidor pero luego desea cambiar al flujo de migración, tal vez porque resolve comenzar a recopilar datos en su propiedad principal de Google Analytics en lugar de una propiedad de prueba, puede habilitar la opción de migración. Sin embargo, primero querrás cambiar el nombre del FPID Galleta o bien el valor almacenado en FPID de la configuración unique se utilizará en lugar del ID de cliente de la solicitud entrante. Cambiar el nombre del FPID galleta esencialmente se reinicia él.
Advertencia 1: múltiples cookies de Google Analytics
Un problema que surge con el Servidor Administrado FPID La cookie se produce cuando los rastreadores de su sitio utilizan diferentes ID de cliente. Esto es bastante común, especialmente con seguimiento entre dominiosdonde la cookie acumulativa se mantiene separada de la cookie regular de Google Analytics para evitar que el seguimiento entre dominios sobrescriba el ID del cliente para los rastreadores que no desean utilizar el seguimiento entre dominios.
No hay soporte para múltiples ID de cliente en Server Managed FPID opción, por lo que si no desea que la opción Administrado por servidor interrumpa su configuración de cookies múltiples, debe esperar hasta que se publique una solución.
Advertencia 2: seguimiento entre dominios
Actualización 12 de agosto de 2021: Esta advertencia ya no es válida, ya que El seguimiento entre dominios ahora también funciona con la cookie FPID..
De manera related, porque FPID es HttpOnly, no se presta al seguimiento entre dominios. El seguimiento entre dominios se habilita con código del lado del cliente y el HttpOnly flag hace imposible que el código del lado del cliente acceda al ID del cliente para la decoración de enlaces entre dominios.
Es muy possible que se esté diseñando una función para admitir el seguimiento entre dominios, pero hasta que se lance dicha función, no debe ejecutar la opción Administrado por servidor.
Advertencia 3: no hay opción sin cookies
Actualización 27 de abril de 2023: Esta advertencia ya no es válida, ya que ahora puede establecer condicionalmente el nombre del FPID en una cadena vacía para evitar que SGTM acceda a la cookie.
Se puede utilizar Google Analytics del lado del cliente sin galletas. Esta es una opción viable en la UE si el usuario no ha dado su consentimiento para almacenar o conservar datos en el navegador o dispositivo.
Desafortunadamente, el servidor administrado FPID cookie actualmente no tiene una manera de cumplir con este deseo. Las solicitudes HTTP entrantes reclamadas por el Cliente con la opción Administrado por Servidor activada generan el FPID cookie en todos los casos.
Nuevamente, si esto es un issue decisivo para usted, deberá esperar a que el Cliente admita una opción sin cookies.
Resumen
Si los ingenieros de Google Analytics tuvieran la oportunidad de rediseñar cómo GA persiste en el identificador del cliente, construirían GA con el FPID (o algo related) y manténgase alejado de las cookies de JavaScript.
Las cookies son notoriamente difíciles de hacerlo bien, pero el hecho es que cuanto más cerca están del acceso del lado del cliente, menos seguros son. Aunque el identificador de Google Analytics no contiene ningún dato private codificado ni puede utilizarse como clave de acceso para ningún sistema de autenticación, sigue siendo un vector para seguimiento entre sitios.
La cookie de Google Analytics es un identificador de origen persistente que se puede reutilizar para el seguimiento entre sitios en configuraciones de sincronización de cookies, por ejemplo.
Al mover el identificador a un HttpOnly cookie, el identificador está protegido contra el uso indebido.
Dar FPID una vuelta: puede utilizar la opción Administrado de JavaScript para obtener la mejor compatibilidad. Sólo tenga en cuenta las advertencias enumeradas en este artículo.