Технология Privacy-preserving attribution от Mozilla

Вслед за Google и Facebook* свою версию замены сторонним cookies представила Mozilla: разбираемся, как работает технология Privacy-preserving attribution.

Privacy-preserving attribution от Mozilla: что это и зачем?

В июле 2024 года Mozilla вместе с новой версией своего браузера Firefox представила технологию, которая называется Privacy-preserving attribution (атрибуция с сохранением приватности) и предназначена для отслеживания эффективности интернет-рекламы. Она включена по умолчанию в Firefox 128.

Это довольно быстро привлекло внимание поборников онлайн-приватности и привело к появлению в новостях заголовков вроде «Теперь и Mozilla начинает продавать данные пользователей». Шумиха поднялась настолько серьезная, что техническому директору Firefox Бобби Холли пришлось объясняться с пользователями Reddit, что же на самом деле Mozilla сделала и зачем.

Самое время разобраться более подробно, в чем суть технологии Privacy-preserving attribution, зачем она вообще нужна и почему в Mozilla решили представить ее именно сейчас.

Google Ad Topics и «История ссылок» в Facebook*

Начну с предыстории. Как вы, возможно, помните, разработчики самого популярного в мире браузера — Google Chrome — еще с 2019 года вынашивают планы по полному отключению поддержки сторонних cookies.

Эта технология уже третье десятилетие повсеместно используется для отслеживания действий пользователей в Интернете. Так что, с одной стороны, она является основой индустрии онлайн-рекламы, а с другой — главным инструментом нарушения приватности пользователей.

В качестве замены сторонних cookies некоторое время назад Google представила собственную разработку под названием Ad Topics. В рамках этой технологии отслеживание пользователя происходит на основе истории браузера Chrome и истории взаимодействия пользователя с приложениями в Android. Предполагалось, что благодаря внедрению Ad Topics поддержку сторонних cookies в браузере отключат уже во второй половине 2024 года.

Другой крупнейший игрок индустрии цифровой рекламы, компания Meta**, которая также полагается на сторонние куки, придумала собственный вариант слежки за пользователями. Это так называемая История ссылок: все внешние ссылки в мобильных приложениях Facebook* теперь открываются во встроенном в приложение браузере, где компания все еще может следить за действиями пользователя.

Что в итоге получается: в результате отключения поддержки сторонних cookies преимущество получают те участники рынка интернет-рекламы, у которых есть какое-либо крупное, полностью контролируемое ими цифровое пространство: самые популярные в мире браузер и ОС в случае Google, самая популярная соцсеть в случае Meta**. Более мелкие игроки при этом оказываются в зависимом положении.

При этом данные пользователей все равно продолжают собирать в промышленных масштабах. И делают это все те же компании, к которым обычно и предъявляют основные претензии с точки зрения нарушения приватности, — Google и Facebook*.

Возникает вопрос: а нельзя ли разработать какой-то механизм, который одновременно позволит рекламодателям отслеживать эффективность рекламы и при этом не предполагает массовый сбор данных пользователей? Ответом именно на этот вопрос и является технология Privacy-preserving attribution.

Система приватного агрегирования Prio

Чтобы лучше понять историю этой технологии, придется начать немного издалека. В 2017 году криптографы Генри Корреган-Гиббс и Дэн Боне из Стэнфордского университета представили научную работу. В ней они описали ориентированную на приватность систему сбора агрегированной статистики, которую они назвали Prio.

Если очень сильно упростить, то в основе Prio лежит следующий механизм. Допустим, вас интересует средний возраст некоторого количества пользователей, но вы хотите сохранить их приватность. Вы ставите две (или более) копилки и просите каждого из пользователей отсчитать соответствующее их возрасту количество монеток и, никому не показывая, случайным образом разложить эти монетки по разным копилкам.

Далее вы ссыпаете монеты из копилок в одну кучу, пересчитываете и делите на количество пользователей. В результате вы получаете искомое значение среднего возраста пользователей. При этом если хотя бы одна из копилок работает честно (то есть никому не рассказывает о том, что в нее попадает), то невозможно установить, сколько именно монеток разложил по копилкам отдельно взятый пользователь.

Общий принцип работы Prio

Основные этапы обработки информации системой Prio. Источник

Поверх этого базового механизма в Prio положено много криптографии, защищающей информацию от перехвата и позволяющей обеспечить достоверность полученных данных. Она не дает пользователям ради той или иной выгоды подсовывать в систему ответы, которые могут испортить общее значение. Однако основная идея — в использовании двух и более агрегаторов, собирающих случайные доли необходимой информации.

У алгоритмов Prio есть еще одна важная особенность: они позволяют обеспечить гораздо более высокую производительность системы по сравнению с прежними подходами надежного анонимизированного сбора данных — в 50–100 раз, по утверждению авторов работы.

Протокол DAP — Distributed Aggregation Protocol

В Mozilla заинтересовались Prio еще в 2018 году. Первым результатом этого интереса стала разработка экспериментальной системы Firefox Origin Telemetry, основанной на Prio. Примечательно, что данная система была предназначена для приватного сбора телеметрии об эффективности борьбы браузера с рекламными трекерами.

Далее, в феврале 2022, Mozilla представила разработанную совместно с Meta** технологию IPA (Interoperable private attribution), которая, судя по всему, в итоге и стала прообразом PPA, Privacy-preserving attribution.

В мае 2022 года был опубликован нулевой драфт основанного на Prio протокола DAP, Distributed Aggregation Protocol. Авторами этого драфта стали представители некоммерческих организаций Mozilla и Internet Security Research Group (ISRG), хорошо известной по проекту Let’s Encrypt, демократизировавшему использование HTTPS, а также двое сотрудников Cloudflare.

Параллельно с работой над протоколом в ISRG занимались созданием основанной на DAP системы сбора анонимизированной статистики — этот проект получил название Divvi Up. Данная система в первую очередь предназначена для сбора различной технической телеметрии, которая необходима для улучшения работы сайтов, — например, времени загрузки страницы.

Общий принцип работы Distributed Aggregation Protocol

Схематичное объяснение основного принципа работы протокола DAP. Источник

Наконец, в октябре 2023 года Divvi Up и Mozilla анонсировали, что они ведут совместную работу над внедрением протокола DAP в браузер Firefox. В рамках этой работы была создана система из двух агрегаторов, один из которых работает на стороне Mozilla, а второй — на стороне Divvi Up.

Как работает технология Privacy-preserving attribution (PPA)

Именно последняя система, совместно созданная Divvi Up и Mozilla, в итоге и используется технологией Privacy-preserving attribution на данный момент. Пока это всего лишь эксперимент, в котором участвует ограниченное количество сайтов.

Механизм ее работы в общих чертах таков:

  • Веб-сайт просит браузер запомнить, что произошел успешный показ определенной рекламы.
  • В случае если пользователь совершает некие действия, которые сайт считает полезными (например, покупает товар), то сайт просит браузер рассказать ему, видел ли данный пользователь рекламу.
  • Браузер ничего не рассказывает сайту, а отправляет информацию с помощью протокола DAP на серверы агрегирования.
  • Все подобные отчеты накапливаются в агрегаторах, а сайту периодически отправляется сводка.

В итоге сайт получает данные о том, что из X пользователей, увидевших определенную рекламу, полезные с точки зрения сайта действия совершили Y пользователей. При этом ни сайт, ни система агрегирования не имеют информации о том, кто были эти пользователи, что еще они делали в Интернете и так далее.

Зачем нужна технология Privacy-preserving attribution (PPA)

В ходе упомянутой в начале этого поста дискуссии на Reddit технический директор Firefox объяснил, чего они хотели добиться, представляя Privacy-preserving attribution вместе с новой версией своего браузера.

Точка зрения Mozilla примерно следующая. Онлайн-реклама, как минимум на данном этапе развития Интернета, является неизбежным злом. И в целом понятно желание рекламодателей иметь возможность измерять ее эффективность. Однако инструменты, которые используются для этого сейчас, совершенно не считаются с приватностью пользователей.

При этом любые разговоры о том, что следует как-то ограничить слежку за действиями пользователей, наталкиваются на протесты со стороны рекламщиков. Их аргументация состоит в том, что без сбора данных они лишаются инструмента для оценки эффективности интернет-рекламы.

Собственно, технология Privacy-preserving attribution является экспериментальным примером такого инструмента, который позволяет получать необходимую рекламщикам обратную связь, не собирая и не храня при этом информацию обо всем, что происходило с пользователями.

Если эксперимент покажет, что эта технология способна удовлетворить нужды рекламщиков, то у защитников приватности появится серьезный аргумент, который в дальнейшем можно использовать в разговорах с регуляторами и законотворцами. Грубо говоря, это докажет, что без тотальной слежки в Интернете действительно можно обходиться, поэтому ее следует ограничить законодательно.

Отключите сторонние cookies прямо сейчас

Так уж совпало, что почти сразу после шумихи вокруг новой технологии Mozilla в Google объявили о полном отказе от своих планов по отключению сторонних cookies. Похоже, эти нехорошие куки с нами еще надолго — и это немного напоминает те трудности, которые испытывает Microsoft с захоронением своего Internet Explorer.

Хорошая новость в том, что, в отличие от Internet Explorer, который действительно сложно выкорчевать из Windows, со сторонними cookies каждый пользователь может справиться самостоятельно. Все современные браузеры позволяют легко их отключить — у нас есть подробная инструкция о том, как это сделать.

Стоит иметь в виду, что отказ от «отказа от cookies» не означает конец Google Ad Topics — в компании собираются продолжить данный эксперимент. Так что рекомендую эту штуку тоже отключить: вот здесь подробно описано, как это делается в Chrome и Android.

А если вы пользуетесь мобильным приложением Facebook, то заодно стоит отключить и «Историю ссылок» по еще одной нашей инструкции.

Также для блокировки рекламных трекеров (далеко не все из которых используют cookies) можно и нужно использовать функцию «Защита от сбора данных» в наших подписках Kaspersky Standard, Kaspersky Plus и Kaspersky Premium.

Наконец, мы рекомендуем использовать наш бесплатный сервис Privacy checker, в котором мы собрали инструкции по настройке приватности для наиболее распространенных приложений, сервисов и соцсетей под разные ОС.

Что касается Privacy-preserving attribution, то эта технология выглядит весьма полезной. Если вы считаете иначе, вот здесь есть несложная инструкция, как ее отключить в Firefox. Но лично я предпочту поддержать развитие данной технологии, поэтому не собираюсь выключать ее в своем браузере.

* Facebook принадлежит компании Meta**, признанной экстремистской организацией в Российской Федерации.

** Компания Meta признана экстремистской организацией в Российской Федерации.

Советы