1997年的原始Cookie规范符合GDPR

请输入您的电子邮件，我们将向您发送一封电子邮件，您可以从中选择新密码。

重置密码：

前几天我讨论了GDPR，ePrivacy和出版商面临的所有问题，我指出我们看待这个问题的方式是错误的。

我们从来没有被认为能够做到今天大多数出版商和科技公司所做的事情。事实上，如果我告诉您，应该如何在浏览器中实现cookie的原始规范很大程度上定义了今天的GDPR，会怎么样？

是的，没错。最初的cookie规范是符合GDPR的，直到后来广告技术行业才把一切搞得一团糟。

这是一个非常吸引人的故事，作为一名出版商，你应该知道，因为它非常深刻地反映了我们今天面临的问题。

今天饼干的名声真的很不好，很多人都说我们根本不应该吃饼干。但是重要的是要记住为什么曲奇一开始就被发明了。

在Cookie出现之前，网络只是一个你可以在页面上查找信息的地方。你可以输入一个URL或点击一个链接，然后你就会看到那个页面上有什么。但是浏览器和服务器都不知道您是谁，也不知道您以前做过什么。

对于一个纯粹基于文本的网站来说，这不是问题。但是想象一下，您想要创建一个网络商店。

如果浏览器在页面间隙记不住你，你会怎么买呢？

带上购物车之类的东西。如果你尝试在吃饼干之前这样做，当人们在他们访问的第一个页面上把产品放进购物车时，只要他们点击其他任何东西，浏览器就会认为这是一次全新的访问，而且……。好吧.。你的购物车就会空了。

这不是很有用，我们需要找到一种方法来解决这个问题。因此，早在1994年，Netscape和MSI一起发明了一种解决方案，允许网站跨页面跟踪信息，从而实现像网上商店这样的东西。

他们想出的解决方案就是饼干。一个非常小的文本文件，其中包含少量数据，可用于识别人员或存储购物车ID等。

这真是太棒了。事实上，Cookie的发明是我们添加到互联网上的最重要的东西。它改变了互联网，让我们从一个被动的地方阅读东西，变成了一个互动的地方。想想你每天使用多少依赖cookie的东西就知道了。

比如推特或Instagram。如果没有Cookie，它将无法在您每次都登录的情况下进行更新。这意味着每次你想看到新的推文或回复时，你都必须重新登录。每次您的浏览器必须加载任何内容时，它都会忘记您是谁。

或者想想我们作为出版商是做什么的。接受订阅。如果没有Cookie，我们就不得不要求人们在每次点击链接时手动登录。不仅是第一次，而且是在每次页面查看之间。

如果人们访问你的首页，他们必须登录才能阅读。然后，当他们看所有的文章时，每次点击任何一个，他们都必须重新登录。再来一次。

想想饼干在做什么。它是识别你是谁，并随着时间的推移跟踪你。

这有明显的问题，因为大约有一百万种方式可能会被错误地使用。这不仅可能被用来侵犯人们的隐私，还存在许多安全问题。

因此，在1994年，网景在他们的浏览器中实现了cookie，但他们从未真正告诉公众这一点。而且，几乎没有什么保障措施到位。在接下来的几年里，当开发人员开始意识到他们可以用cookie做什么时，所有不好的事情都开始发生了。

新成立的广告业意识到，他们不仅可以使用cookie来识别和跟踪人们，还可以跨网站这样做。换句话说，他们突然有了这个令人惊叹的工具，可以全天监视人们，并可以利用这些数据来建立巨大的营销档案，然后他们可以卖给任何想要它的人。

这种情况一直持续到1996年2月，当时英国“金融时报”意识到发生了什么，他们发表了第一篇关于饼干危险的文章。

它被称为"；您电脑中的这个错误是一个智能cookie"；(完整存档在这里)：

考虑到这是1996年写的，这是一篇很好的文章。它强调了Cookie的问题，其方式与我们今天谈论它们的方式大致相同。它指出，人们没有意识到它的存在，而且人们对它没有任何控制权。

.在今天的网络空间里，监视客户的行为是可能的。技术已经到位-并准备在互联网的万维网上使用-这将使网站所有者能够收集关于在家里从PC上查看网页的人的一系列令人震惊的信息。

大多数互联网用户没有意识到这种可能性的存在。他们正确地认为，当他们在网上冲浪时，从他们的PC发送到网站的信息是一个IP地址-一串数字，指定他们登录的计算机的Internet位置。仅仅根据这些信息追踪客户是一门不精确的科学，因为一个IP地址可以被数百名在一家公司工作的人共享，也可以被数千名使用在线服务的人共享。

但网络上使用的领先软件包含一个鲜为人知的皱纹，这增加了公司了解他们的客户是谁以及他们在做什么的能力。它允许公司跟踪个人浏览哪些网页、何时浏览、浏览多长时间以及浏览的顺序。

这些信息可以与顾客自愿提供的信息相吻合-例如，当他通过提供姓名和电子邮件地址注册成为会员，或者在订购快递时提供信用卡号码和地址-以生成个人行为的全面记录。

最不同寻常的是，这些信息可以在客户不知情的情况下存储在他们自己的PC上。它可以保存在一种形式中，这样只有收集信息的公司才能从中受益。当客户连接到该网站时，该网站可以静默地询问这台PC并获取信息。

然而，这些饼干的故事是互联网营销打开的可能性的例证。在过去，投放广告就像发射大炮；还记得那句老话吗？广告上花的钱有一半是浪费的，但没有人知道哪一半是浪费的。今天，技术创造了一颗银弹，使公司能够针对个人目标。

从长远来看，这是一件好事，因为它将使广告更贴近消费者的需求。但这关系到隐私问题，这需要辩论。

唯一令人安慰的是，使用这项技术侵犯隐私不太可能产生任何生死攸关的后果。毕竟，大多数公司会做的最糟糕的事情就是试图卖给你一些东西。

尽管结论有点一致，但这篇文章产生了很大的影响。不久之后，许多其他报纸开始关注这一问题，这导致了联邦贸易委员会的两次听证会，网络行业感到有压力做出回应。

顺便说一句：作为一个完整的附注。同一天，英国“金融时报”还报道了V-Chip以及旨在限制性和暴力节目播放的“清洁电视”(Clean TV)规定。而电视网也不愿采取行动。正如他们所说：

随着V-芯片法现已实施，美国电视网和有线电视公司面临回应压力，但尚不清楚他们是否会对新法提出法律挑战。如果该行业反对这项法律，就有可能招致公众舆论的强烈反对，但如果它遵守这项法律，它担心会损失X级节目的广告收入。

我只是觉得这很有趣，因为这与出版商今天对即将出台的电子隐私法的反应完全一样。因此，1996年是激动人心的一年。

因此，在这一切开始之前，早在1995年，Netscape就已经开始尝试创建一个正式的Cookie规范，不同的工作组提出了不同的想法。但在英国“金融时报”发表这篇文章后，这项工作突然进入了高潮。

但不仅如此，他们似乎也意识到他们需要做出一些戏剧性的改变。

1996年2月，工作小组确定第三方Cookie对隐私构成相当大的威胁。该组织制定的规范最终在1997年2月发布为RFC 2109。它指定或者根本不允许第三方cookie，或者至少在默认情况下不允许第三方cookie。

原始Cookie规范不允许第三方Cookie。如果行业遵循最初的规范，我们今天所面临的所有问题都可以在当时得到解决。

但是，整个文档相当令人惊叹，听起来几乎就像GDPR是如何定义的。

他们想要解决的第一个问题是网站为您正在访问的域名以外的其他域名设置cookie的问题。

这是我们今天面临的一个普遍问题，我可以用非常简单的方式来说明这一点。

如果我拿着一个全新的浏览器(没有存储任何东西)访问一个网站，比如说，像我的国家的一家报纸一样，作为读者，我只访问了那个网站域名。

然而，当我们检查我的浏览器保存了哪些cookie时，我们突然看到一个很长的域名列表，这些域名显然已经在我的浏览器中设置了cookie。

作为一名读者，我没有访问过这些网站中的任何一个。这些域名都没有出现在我浏览器的地址栏中。相反，这些都是在幕后完全秘密设置的。

想想这有多疯狂。在这里，我们有数百家完全不知名的秘密广告技术公司，它们在跟踪我在做什么，而我从来没有直接访问过它们中的任何一家。

更糟糕的是，这些公司没有提供任何形式的透明度。

在媒体行业，我们花了太多时间指向谷歌或Facebook。但我并不是真的担心他们。据我所知，谷歌和Facebook都是大公司。而且他们一直面临着公众的监督。

但是对于出版商网站上成百上千家不知名的公司来说呢？我不知道他们是谁，也不知道他们实际上在做什么。这是广告技术的黑暗网络。而且这一切都是通过出版商的网站进行的。而这正是英国“金融时报”在1996年指出的问题。

因此，当最初定义Cookie规范时，他们意识到这可能是一个问题，他们决定不应该这样使用Cookie。在规范中，他们提出了何时要求浏览器拒绝读取或设置cookie的规则。

其中两个只是如何定义cookie的技术规范，但另外两个非常有趣。

首先，它说明在Cookie中定义路径时，该路径必须是原始请求URI的一部分……。或者简单地说，它必须与您在浏览器顶部看到的URL匹配。

其次，他们谈到域匹配，他们说cookie的域必须与人们正在访问的域匹配。

这意味着如果您访问报纸站点，它应该不能为其他域设置cookie。或者换句话说，第三方cookie是不允许的。他们说，这必须是防止可能侵犯安全或隐私的规则。

这太神奇了。他们早在1997年就意识到了饼干的问题。他们知道这可能会被滥用，并指示浏览器通过拒绝任何违反这一规则的cookie来阻止它。

那么为什么我们今天会有这个问题呢？好的，原因有两个，稍后我会回到第二个原因。但主要原因是广告技术界是如何解决这一问题的。

你看，当我去报纸网站时，所有这些额外设置的cookie实际上都不是报纸设置的。取而代之的是，报纸嵌入了所有这些第三方脚本，然后这些脚本从他们自己的域名设置cookie。因此，从技术上讲，他们可以声称域匹配，因为他们实际上正在设置来自域的cookie。

当然，这是一派胡言，因为作为用户，他们基本上只是在说去你的。从技术上讲，他们是对的，但显然这不是他们的初衷。

但是，这就是原始规范更令人惊讶的地方，因为他们意识到广告技术公司可能会这样做。所以他们也试图阻止这一切。

他们所做的就是开始讨论何时允许自动设置cookie，何时不允许。他们称这是经过验证的交易，而不是未经验证的交易。

本质上，它的意思是，当用户知道他们在哪个域上时，就会验证某些东西。例如，如果我访问“纽约时报”，我知道我在他们的网站上，然后允许浏览器为nytimes.com域设置cookie。

但是，任何其他类型的请求，比如从嵌入到网站中的代码加载内容时，人们都无法知道，这是一种未经验证的交易。

他们继续定义，在所有这些未经验证的情况下，只能为与源请求匹配的域设置cookie。也就是说，仅限于原始域。

这是另一种说法，即第三方cookie是不允许的，广告技术公司可以通过简单地声称域名匹配是因为它嵌入在页面的某个部分来欺骗系统。

在2000年后的原始规范修订版中，他们对此做了更清楚的说明。在这里，他们非常强烈地告诉浏览器，他们不能设置或读取第三方站点未经验证的交易的cookie。

他们还举例说明了这一点。他们以人们选择点击的链接(已知操作)和页面自动加载的图像(未知操作)之间的区别为例。

在这里，他们再一次谈论的是，人们是否了解他们正在与之互动的网站之间的区别。当你点击一个链接时，你知道你正在访问的是哪个网站，但是当加载一张图片时，人们根本不知道该图片实际上是从哪里加载的。

这应该会提醒你一些事情，因为这基本上就是我们现在所说的Facebook Pixel。

Facebook Pixel是一个很小的图像，许多出版商都将其嵌入到他们的网站中，当自动加载时，它允许Facebook记录和跟踪人……。然后可以将其用于许多事情，包括广告定向。

1997年，他们所说的是，这将是一笔未经核实的交易，因此不应该被允许存储cookie。

他们甚至在Facebook发明前7年就这么说了，因为他们知道一些糟糕的公司会受到诱惑而这么做。

他们还引入了一个例外。他们意识到在某些情况下可能需要这种类型的功能，因此他们允许人们更改此配置。但是，正如他们还说的，只有在此覆盖默认设置为关闭的情况下，才允许这样做。

这和GDPR说的完全一样。它规定，没有人们明确和积极的同意，你不能进行第三方跟踪。你不能仅仅告诉人们这个网站使用Cookie，通过继续使用它，这就是我们要做的。

不.。您必须提供一个可配置的选项，在允许您设置任何第三方cookie之前，用户必须手动更改该选项。

事实上，这整件事听起来很像GDPR，包括已验证和未验证的交易部分。在GDPR中，这被定义为合法利益和明确同意之间的差异。

例如，使用GDPR，您可以设置一个cookie来管理购物车，将其作为履行合同的合法利益，因为这是人们希望您的网站这样做的。但是，您不能使用合法利益从嵌入的广告区块设置第三方cookie，因为人们无法了解幕后发生的事情。

他们还谈到了他们所谓的cookie共享的潜在问题。如今，广告技术界称之为Cookie匹配，他们试图将为不同域名设置的单个Cookie与同一个人进行匹配，这将使他们能够跟踪不同服务和网站的用户。

而最初的cookies规范对此不屑一顾。他们特别呼吁这是我们应该尽一切努力防止的事情。

这也适用于其他事情，比如浏览器指纹识别，或者谷歌现在将如何尝试在不实际使用cookie的情况下使用机器学习来识别人。有时这被称为无cookie跟踪。

即使这些技术实际上并不使用cookie，这一原则仍然适用。这是这些公司正在做的一件坏事，我们应该千方百计防止它发生。

最后，他们甚至开始谈论cookie管理。他们说，人们应该控制他们的数据，如果他们选择这样做，就应该允许他们删除这些数据。

他们还建议可以通过某种类型的界面进行控制，最后他们指出，出于隐私考虑，用户对cookie管理拥有相当大的控制权。

同样，这与我们现在看到的GDPR完全相同。GDPR还规定，人们应该控制他们的数据。出版商必须为人们提供一种管理它的方法，如果他们选择这样做，就可以删除它。

但同样令人惊讶的是，所有这一切都是在1997年的原始规范中定义的。

嗯，我们都知道，我们把事情搞砸了。今天的广告技术世界现在正在做每一件我们在1997年说过不应该允许他们做的事情。

浏览器也搞砸了！他们没有以正确的方式实现此cookie规范。当事务未经验证或域不匹配时，他们无法拒绝设置Cookie。

他们允许广告技术公司通过在嵌入式代码块中设置cookie或跟踪像素来绕过规范，尽管这是明确提到的不应该发生的事情。

当我们开始看到cookie匹配、指纹识别以及现在的机器学习的问题时，大型浏览器对此的反应非常缓慢。

更糟糕的是，Cookie规范自那以后已经更新了几次，在最新的版本中(从2011年开始)，他们基本上已经放弃了尝试做正确的事情。

尤其令人担忧的是所谓的第三方cookie。在呈现HTML文档时，用户代理通常从其他服务器(如广告网络)请求资源。即使用户从不直接访问服务器，这些第三方服务器也可以使用Cookie来跟踪用户。例如，如果用户访问包含来自第三方的内容的站点，然后访问包含来自同一第三方的内容的另一个站点，则第三方可以在这两个站点之间跟踪该用户。

一些用户代理限制第三方Cookie的行为。例如，其中一些用户代理拒绝在第三方请求中发送Cookie标头。其他人拒绝处理。

..