ITP in Safari 13 en de volledige blokkering van externe cookies

Op 24 maart zette John Wilander, product owner van het ITP (Intelligent Tracking Prevention) binnen Safari, de onderstaande tweet op Twitter. Standaard staan nu dus alle Safari browsers op "voorkom volgen door gekoppelde sites" wat een grote impact heeft op tracking voor bijvoorbeeld retargeting en Facebook.

Highlights van deze verandering

1. Alle externe cookies worden niet meer geladen, dus externe tracking van de Apple Safari gebruikers is niet meer mogelijk.
2. Dit heeft ook invloed op inloggen op je website met een 3e partij. Wil je inloggen op envoker.com maar gebeurt dit via envoker.nl? Dan wordt deze cookie niet geaccepteerd.
3. Alle data die via een website in je browser kan worden opgeslagen zal na 7 dagen worden verwijderd.
4. Fingerprinting van de gebruiker is ook niet meer mogelijk.

Wat is het effect van deze wijziging?

Hieronder hebben we een vergelijking getrokken van Safari 13.1 versus Chrome 80 van een willekeurige website. Wat hier direct opvalt is dat er bij Safari geen Linkedin, Facebook en een Usermessaging cookie meer aanwezig is. Deze worden in dit specifieke geval dus niet meer geplaatst en standaard geblokkeerd.

Hoe belangrijk is dit voor jou?

Volgens Wikipedia gebruikt gebruikt 22% van hun bezoekers wereldwijd Safari. Wij zien binnen e-commerce vaak dat Safari rond de 30% zit: dit verschilt wel per doelgroep natuurlijk. Raadpleeg zeker je eigen Google Analytics cijfers om voor jou het juiste percentage in te kunnen schatten.

In principe is het van toepassing voor elke iPad en iPhone gebruiker want hierin wordt standaard Safari gebruikt. Op dit moment is het nog niet mogelijk om een andere render engine te gebruiken op deze apparaten.

Het is ook belangrijk om te weten dat de externe cookie dus niet wordt geladen, hierdoor kan je dus inderdaad niet getarget worden door retargeting netwerken.

Voor de grote netwerken, zoals Google, Facebook en ook Criteo kan je updaten naar een nieuwe pixel om de retargeting cookie direct 1st party te maken. Binnen Google heet dat de Google Conversion Linker, Criteo maakt gebruik van een subdomein cookie server en in Facebook is dit een instelling.

Wat we op het internet zien is dat bijvoorbeeld de volgende tags al niet meer worden geladen: 

• Doubleclick
• Standaard Facebook pixel (Zonder 1st party cookie activatie)
• Criteo (Zonder de Cookie server)
• Adform
• Bing
• Mopinion
• Optimizely
• Hotjar

Hieronder zie je een video van de T-Mobile website met aan de linkerkant in Chrome v80 alle cookies die gezet worden en aan de rechterkant de Safari versie 13.1 versie. Veel data wordt dus niet meer ontvangen door de verschillende tools die ze gebruiken.

We verwachten wel dat deze tools binnenkort met een aantal oplossingen gaan komen om deze nieuwe restrictie te omzeilen.

Wat kunnen we van andere browsers verwachten?

Google Chrome heeft al gezegd dat ze hetzelfde gaan doen als Safari, alleen in pas in 2022. 

Microsoft Edge gaat heel waarschijnlijk direct met Google Chrome mee in 2020. Op dit moment zijn ze ook bezig om de basis van de browser te veranderen in een Chromium browser, wat de basis is van Chrome.

Firefox verwacht dat zij sneller het voorbeeld van Safari zullen volgen aangezien de focus van Firefox vooral gericht is op privacy. Ze gebruiken ook al een lijst met discours van externe pixels die automatisch worden geblokkeerd. Ze zijn dus al heel ver in dit proces. Er is nu al een aanvraag binnen de Firefox forums om Safari na te doen.

Wat wordt er nog meer geblokkeerd?

Naast de externe cookies is er ook een grote verandering toepast voor de opslagruimte binnen de browser. De script writable storage wordt aangepast naar maximaal 7 dagen. 

Door de update wordt deze nu binnen 7 dagen volledig geleegd wanneer de gebruiker niet op de website is geweest. Dit heeft voornamelijk een groot effect op PWA (Progressive Web App) websites in webbrowsers die na 1 week opnieuw een gebruiker moeten laten inloggen.

Fingerprinting en Statefullness

Daarnaast wordt ook de mogelijkheid om een digitale vingerprint van je browser te maken voordat een cookie wordt gezet geannuleerd.

Dit wordt ook vaak gebruikt om te controleren of een browser is ingelogd op een bepaalde website en eventueel hierop een gebruiker te volgen. Deze vorm van volgen van een gebruiker is dus ook niet meer mogelijk binnen Safari.

Wat is er nog wel mogelijk?

1st party cookies want deze worden nog steeds opgeslagen voor de tijd die je zelf zet. Dit is voornamelijk belangrijk voor login systemen van websites waarbij je goed op moet letten dat inloggen via hetzelfde domein gaat.

Het zetten van een cookie met behulp van de Storage Access API blijft ook mogelijk. Vooral tools en software pakketten zullen dit nodig hebben om nog steeds de juiste informatie van de gebruiker te kunnen meten en door te geven. Hierbij kan je denken aan help-popups en helpdesk software.

Wie zijn de winnaars van dit verhaal?

De grote winnaars van dit zijn eigenlijk de grote advertentie partijen. Facebook, Google en tot een beperkte mate ook Microsoft en Criteo zullen hier niet direct last van ondervinden. Zij hebben na de eerste aanpassingen van Safari in 2019 al de benodigde aanpassingen gedaan om hierop in te spelen door direct een 1st party cookie te laten zetten voor bijvoorbeeld Google Ads en Google Analytics.

De overige spelers op de markt zullen het extra zwaar krijgen en zich meer gaan richten op prospecting en contextuele targeting.

Webkit Blog Post (EN) 
ZDNet (EN) 
Mozilla Voorstel (EN) 
Check of je 3rd party cookies aan hebt staan