Technik

Google Chrome vs. 3rd Party Cookies oder besser „SameSite=None“

Veröffentlicht

Um was geht es?
Galten Apple Safari mit der ITP und der Mozilla Firefox mit der ETP als Vorreiter im Feldzug gegen das Urgestein des Trackings, den noch immer allgegenwärtige 3rd Party Cookie, so wähnten sich die Werbetreibenden zumindest bei Googles Chrome Browser auf der sicheren Seite. So lebt das Unternehmen aus Kalifornien doch selbst am besten vor, wie der Werbemarkt optimal zu gestalten ist. Unter den Voraussetzungen und bei einem weltweiten Marktanteil des Chrome von über 50% immerhin nicht die schlechteste Basis für die Sicherung der eigenen Umsatzerwartungen.

Beginnend mit dem 04.02.2020 wird nun aber die Version 80 des beliebten Browsers ausgerollt und mit einem Step in der sogenannten Privacy Sandbox das 3rd Party Cookie zwar noch nicht in Rente schicken, aber es immerhin einschränken und so sicherer machen. Hier lauten die Stichpunkte „Secure“ und „SameSite=None“. Zumindest der erste Punkt ist schnell erklärt, basiert dieser letztendlich darauf, dass 3rd Party Cookies nur noch funktionieren, sofern sie via sicherer HTTPS-zertifizierter Domain gesetzt und ausgelesen werden (und auf diese Nutzung beim Setzen des Cookies eingeschränkt werden). Hiermit sollen mögliche Sicherheitslücken auf dem Übertragungsweg ausgeschlossen werden.

Ebenfalls müssen Cookies nun bewusst und aktiv mit dem „SameSite=None“-Label ausgestattet werden um weiterhin die Crossdomain-Funktionalität („3rd Party“) zu ermöglichen, da als Standard ab Version 80 der Wert „SameSite=Lax“ gesetzt wird. Dieser ist wiederum gleichbedeutend mit einem 1st Party Cookie, sprich Cookie und Domain müssen zusammenpassen oder der Cookie wird nicht im Browser gespeichert.

Wie relevant ist die Änderung für das Tracking im Affiliate Marketing?
Grundsätzlich handelt es sich um keine neuen Einstellungen, sondern lediglich um die Änderung einer Voreinstellung im Browser-Verhalten beim Setzen von Cookies. Dieses kann bei der Verwendung von 3rd Party-Tracking allerdings erhebliche Auswirkungen haben. Insbesondere wenn man davon ausgeht, dass in Zukunft ohne Anpassungen bei mehr als 50% der Nutzer keine Cookies mehr gesetzt werden könnten. Auf der anderen Seite verwenden wir als verticalAds Group bei mehr als 95% der Partnerprogramme unserer Netzwerke bereits die 1st Party-Trackingvarianten, die von der Umstellung nicht betroffen sind.

Für die aktuell noch auf 3rd Party-Tracking laufenden Programme haben wir bereits eine entsprechende Lösung implementiert, die auch in Zukunft ein entsprechendes Tracking gewährleistet.

Was muss ich bei anderen Tracking-Lösungen beachten?
Bei der Implementierung von eigenen Lösungen gibt es Stolpersteine, auf die es sich vorzubereiten gilt. Zwar ist der Chrome Browser als Marktführer von großer Wichtigkeit, doch wie verarbeiten andere Browser die genannten Label? Von Mozilla und Microsoft wird erwartet, dass diese das Label „SameSite=Lax“ ebenfalls als Standard-Einstellung übernehmen. Leider sieht es beispielsweise beim Safari-Browser noch etwas anders aus. Hier gibt es einige Versionen (Beispielsweise Safari in iOS 12) die den Wert „None“ nicht korrekt erkennen und als entsprechenden Standard den Wert „Strict“ setzen, der generell die Kommunikation zwischen zwei Domains einschränkt, d.h. dass der Cookie nicht gesetzt werden würde.

Ebenfalls gilt es zu berücksichtigen, dass auch vorher gesetzte Cookies ohne entsprechendes Label in den neuen Browser-Releases keine Schonfrist genießen – sie können ab dem Update nicht mehr ausgelesen werden. Daher gilt es das Thema möglichst ad hoc anzugehen und die nötigen Maßnahmen zu ergreifen, um Tracking-Verluste zu vermeiden.

Wie geht es weiter?
Zwar kann die aktuelle Anpassung mit einer entsprechenden technischen Lösung, wie wir sie als verticalAds Group beispielsweise umgesetzt haben, ein Tracking nach bisherigem Standard gewährleisten, es ist aber zukünftig mit weiteren Einschränkungen in der Verwendung von 3rd Party-Cookies zu rechnen. Wir empfehlen deshalb dringend die Implementierung einer entsprechenden 1st Party-Lösung.