Как сайты узнают вас при первом заходе

от

«Сайты распознают вас не по волшебству и не взламывая устройства. Они складывают пазл из сотен осколков данных, которые вы добровольно или по незнанию оставляете в сети. Российский интернет строит эту систему на собственной инфраструктуре, но логика слежки остаётся глобальной.»

Вы заходите на незнакомый сайт, а он уже предлагает товары из ближайшего магазина. Кажется, что-то пошло не так с приватностью. На самом деле, происходит стандартная работа механизма перекрёстной идентификации, в которой участвуют не один, а десятки сервисов.

Упрощённое объяснение — во всём виноваты cookies — давно не отражает реальности. Современный трекинг, это сложная экосистема, состоящая из кроссплатформенных идентификаторов, синхронизированных рекламных сетей, скрытых API браузера и алгоритмов машинного обучения, которые сводят разрозненные данные в единый профиль.

Браузер — открытая книга

При каждом подключении к сайту браузер передаёт строку User Agent. В ней содержится не просто название и версия, а детализированная информация об операционной системе, разрешении экрана, установленных языках и часто — архитектуре процессора. Комбинации этих параметров достаточно для создания уникального «цифрового отпечатка» устройства.

JavaScript позволяет собрать гораздо больше данных, чем видно невооружённым глазом. Сайты могут проверять список установленных плагинов и шрифтов, поддерживаемые форматы видео и аудио, разницу в часовых поясах с точностью до миллисекунд и даже способность GPU отрисовывать определённые графические примитивы. Все эти параметры хешируются в уникальную строку, которая с высокой вероятностью отличает ваше устройство от миллионов других.

Мост между аккаунтами: рекламные сети

Войдя в аккаунт на одном сайте, вы часто автоматически даёте ключ к идентификации на тысячах других. Крупные российские платформы, такие как ВКонтакте или Яндекс, владеют собственными рекламными сетями (РСЯ, VK Реклама). Их код размещён на сайтах-партнёрах.

Когда вы, будучи авторизованным в VK, посещаете такой сайт, рекламный код может передать ваш обезличенный идентификатор пользователя ВКонтакте владельцу сайта. Ни логин, ни пароль не передаются — только уникальный номер, присвоенный вашему профилю. Для сайта это сигнал: «пользователь X с платформы Y зашёл к нам».

Следующий уровень — синхронизация между разными экосистемами. Допустим, вы совершили покупку на Ozon. Ozon может передать обезличенный идентификатор своей транзакции в Data Management Platform (DMP). Этой же DMP данные о вас поставляет, например, банк, выпустивший карту, или сервис доставки. Внутри DMP происходит сопоставление: два разных ID от Ozon и от банка оказываются связаны с одним человеком. Этот обогащённый профиль потом может быть предложен другим рекламодателям.

Операторы данных (DMP) — центральные узлы

Data Management Platforms, это специализированные платформы, которые становятся центром сбора данных. Они агрегируют информацию из множества источников:

  • Онлайн-платформы (маркетплейсы, соцсети, медиа).
  • Офлайн-данные через партнёрские сети (банки, розничные сети, операторы связи).
  • Данные мобильных приложений.

Алгоритм работы DMP:

  1. Сайт отправляет в DMP анонимный ID пользователя и событие (например, «просмотр ноутбука Asus»).
  2. DMP сверяет этот ID со своей базой, где уже может быть информация: этот пользователь неделю назад искал в Яндексе «курсы программирования» и заходил в раздел с игровыми ноутбуками на другом маркетплейсе.
  3. В ответ на запрос сайт получает не сырые данные, а сегмент профиля: «мужчина, 25-30 лет, активный геймер, интересуется IT-образованием».
  4. Сайт использует этот сегмент для персонализации контента или показа релевантной рекламы (например, курсов по Python или игровых аксессуаров).

Хранилища внутри браузера

Современные браузеры предоставляют API, которые могут использоваться для устойчивого хранения идентификаторов, переживающих очистку cookies.

  • LocalStorage/SessionStorage: Позволяют сайтам сохранять данные прямо в браузере. Уникальный идентификатор, записанный в LocalStorage, не будет удалён при стандартной очистке cookies.
  • IndexedDB: Внутренняя база данных браузера. Крупные сервисы могут хранить в ней сложные структуры данных о ваших действиях и настройках, которые также служат для последующего опознания.
  • Service Workers: Фоновые скрипты, способные выполнять задачи даже при закрытой вкладке сайта. Они могут периодически «дозваниваться» до сервера, обновляя идентификаторы или получая новые инструкции.

Рамки 152-ФЗ и реальность

В России обработка персональных данных должна соответствовать 152-ФЗ. Теоретически это означает, что оператор обязан получить ваше информированное согласие. На практике это часто сводится к всплывающему окну с политикой конфиденциальности, которое пользователь принимает, не читая.

Ключевые точки пересечения с законом:

Требование 152-ФЗ Как проявляется в трекинге
Законность и согласие Обработка данных для персонализации рекламы часто обосновывается полученным согласием через ту самую всплывающую форму. Сбор технических данных (отпечаток браузера) может маскироваться под «обеспечение безопасности» или «функционирование сайта».
Цели обработки Закон требует конкретики. На деле одна широкая формулировка в политике («улучшение качества сервиса») может покрывать десятки различных практик сбора и анализа.
Достаточность и актуальность С технической точки зрения собрать можно всё. Закон ограничивает сбор избыточных данных, но доказать «избыточность» каждого параметра в цифровом отпечатке браузера сложно.
Безопасность Оператор обязан защищать собранные данные. Однако утечки из крупных компаний показывают, что массивы данных, включающие поведенческие профили, становятся лакомой целью для злоумышленников.

Руководящие документы ФСТЭК предписывают технические меры защиты информации (СЗИ, средства криптографии, контроль доступа). Эти меры в первую очередь направлены на защиту уже собранных данных от утечки, а не на ограничение самого масштаба сбора.

Что можно сделать

Полностью «исчезнуть» из поля зрения трекеров в современном интернете почти невозможно. Но можно существенно усложнить сбор данных и сделать свой профиль менее полным.

  1. Браузеры и расширения. Используйте браузеры с усиленной защитой приватности (например, Firefox с строгими настройками tracking protection) или режимы вроде Tor. Расширения типа uBlock Origin (в режиме блокировки скриптов) или Privacy Badger эффективно блокируют рекламные трекеры и скрипты снятия отпечатка.
  2. Очистка данных. Регулярно очищайте не только cookies, но и данные сайтов: LocalStorage, IndexedDB, кэш. Помните, что это может сбросить настройки на часто посещаемых ресурсах.
  3. Изоляция активностей. Создавайте отдельные профили или используйте разные браузеры для разных задач: один для работы и финансов, другой — для соцсетей и развлечений, третий — для анонимного просмотра. Это разрывает прямые связи между вашими действиями.
  4. Настройка рекламных предпочтений. Во многих крупных сервисах (Яндекс, ВКонтакте) в настройках личного кабинета можно отключить персонализацию рекламы на основе поведения или ограничить использование данных. Это не остановит сбор, но может ограничить его применение.

Сайт «узнаёт» вас потому, что десятки сервисов, с которыми вы так или иначе взаимодействуете, обмениваются информацией, постоянно достраивая цифровую тень. Понимание механики этого процесса — не паранойя, а основа для осознанного выбора в цифровой среде.

Оставьте комментарий