Dernière mise à jour le 12 août 2021 avec des détails sur le suivi inter-domaines et le cookie FPID.
Avec le balisage côté serveur, la communauté des développeurs a la possibilité d’améliorer considérablement les capacités de collecte de données des plates-formes d’analyse de Google (Universal Analytics et App+Web). La possibilité de créer nos propres modèles est particulièrement puissante avec un conteneur Server.
Cependant, ce n’est pas comme si Google eux-mêmes restaient les bras croisés et voyaient ce que la communauté peut proposer.
Dans l’intégré Client analytique universel modèle dans un conteneur de serveur, il existe une option pour migrer vers un Géré par le serveur Identité du client.
Lors de l’utilisation de ce Client particulier pour le proxy des requêtes Google Analytics, le conteneur Serveur introduit un nouveau cookie qui n’est accessible qu’au serveur Web et non au navigateur JavaScript. Ce cookie est nommé FPID (Identifiant propriétaire) par défaut. La valeur stockée dans FPID sera utilisé pour définir l’ID client dans la demande aux serveurs de Google.
Dans cet article, je vais vous expliquer comment cela fonctionne et quelles sont ses implications pour la collecte et la sécurité des données.
Comment ça fonctionne
Assurez-vous de consulter le guide principal pour une introduction au balisage côté serveur. Une compréhension du fonctionnement des clients et des balises facilitera grandement la lecture de cet article.
Google Analytics utilise le &cid Paramètre d’URL dans sa requête HTTP de collecte de données pour transmettre l’ID client du navigateur (ou de l’appareil) aux serveurs de Google Analytics. Cet ID client est conservé dans un cookie propriétaire écrit (et lu) avec JavaScript.
Avec FPIDGoogle abandonne le cookie accessible par JavaScript au profit d’un cookie HTTP, qui est encore plus sécurisé avec le HttpOnly drapeau. Le nouveau paramètre dans Universal Analytics Client vous propose plusieurs approches pour migrer (ou non).
JavaScript géré – comme d’habitude
Lorsque vous définissez la configuration dans le Client sur JavaScript géréle client lira la demande entrante comme d’habitude, utilisera le &cid paramètre de la demande pour définir l’ID client dans la demande sortante à Google Analytics, puis ne rien faire d’autre. Donc, si vous ne souhaitez pas utiliser cette nouvelle méthode de stockage de l’identifiant client, vous devez définir l’option sur JavaScript géré.
Géré par le serveur – nouveau cookie HTTP
Cependant, lorsque vous le réglez sur Géré par le serveurle Client va maintenant analyser l’identifiant d’un nouveau cookie et le préférer à ce que le navigateur (ou l’appareil) envoie comme valeur du &cid paramètre. Le nouveau cookie est écrit dans le Set-Cookie En-tête HTTP dans la réponse au navigateur ou à une autre source réseau.
Autrement dit, sans faire de réglages (voir ci-dessous), le conteneur Serveur va générer un nouveau FPID cookie (s’il n’existe pas déjà) et utilisez-le pour remplir l’ID client de la demande sortante vers les serveurs Google Analytics.
Le cookie est défini avec le HttpOnly flag, ce qui signifie qu’il n’est pas accessible au navigateur JavaScript. Seul le serveur Web peut lire la valeur du cookie. Cela atténue le suivi intersites, car les cookies propriétaires lisibles par JavaScript sont souvent réutilisés pour créer des profils intersites.
La définition du cookie dans la réponse HTTP le rend également un peu plus résistant aux navigateurs avec des mesures en place pour réduire l’utilité des cookies JavaScript (voir par exemple la prévention intelligente du suivi d’Apple).
Migration de JavaScript Managed vers Server Managed
Pour vous assurer que le conteneur Serveur ne se contente pas de créer en masse de nouveaux utilisateurs Google Analytics, vous pouvez sélectionner l’option Migrer depuis JavaScript Managed Client ID option.
Avec cette option, le client Universal Analytics continuera d’utiliser la valeur d’origine de l’ID du client géré JavaScript jusqu’à ce que le _ga cookie est supprimé ou l’ID client est réinitialisé. À ce stade, le système migrera vers la nouvelle option Géré par le serveur stockée dans le FPID biscuit.
Voici ce qu’il fait en détail :
- SI la requête HTTP entrante n’a pas le
FPIDcookie mais a le&cidparamètre défini dans la requête, un nouveauFPIDcookie est créé avec un hachage à partir de la valeur du&cidparamètre dans la requête entrante. Cette&cidLa valeur est transmise à Google Analytics en tant qu’ID client, ne réinitialisant donc pas l’utilisateur. - SI la requête HTTP entrante a à la fois le
FPIDbiscuit et le&cidparamètre ET lesFPIDhachage a été généré à partir de cette précision&cidparamètre, la valeur du&ciddans la demande entrante est transmise à Google Analytics en tant qu’ID client, ne réinitialisant donc pas l’utilisateur. - SI la requête HTTP entrante a le
FPIDcookie et l’un ou l’autre n’a pas le&cidparamètre OU ALORS les valeurs diffèrent, alors le hachage stocké dansFPIDest envoyé à Google Analytics en tant qu’ID client. Cette techniquement “réinitialise” l’utilisateur, mais puisque le&cida déjà une valeur différente de celle queFPIDétait à l’origine dérivé, l’utilisateur aurait été réinitialisé de toute façon.
Notez que le
FPIDhachage généré à partir du&cidinclut également une graine côté serveur, ce qui rend impossible de déduire leFPIDvaleur de celle stockée dans le_gacookie utilisant du code côté client.
Si ces hits envoyés par le conteneur Serveur sont collectés dans un Nouveau propriété de Google Analytics, cela n’a aucun sens d’activer la option de migration, car il n’y aurait pas d’utilisateurs préexistants. Utilisez simplement le Géré par le serveur option sans la sélection de migration cochée.
D’autre part, si vous commencez avec une configuration gérée par le serveur, mais que vous souhaitez ensuite passer au flux de migration, peut-être parce que vous décidez de commencer à collecter vers votre propriété Google Analytics principale au lieu d’une propriété de test, vous pouvez activer l’option de migration. Cependant, vous voudrez d’abord renommer le FPID biscuit ou bien la valeur stockée dans FPID de la configuration d’origine sera utilisé à la place de l’ID client de la demande entrante. Renommer le FPID cookie essentiellement réinitialise il.
Mise en garde 1 : Plusieurs cookies de Google Analytics
Un problème qui se pose avec le Server Managed FPID cookie, c’est lorsque les traceurs de votre site utilisent différents identifiants client. Ceci est assez courant, en particulier avec le suivi inter-domaines, où le cookie cumulatif est séparé du cookie Google Analytics standard pour éviter que le suivi inter-domaines n’écrase l’ID client pour les trackers qui ne souhaitent pas utiliser l’inter-domaine. suivi.
Il n’y a pas de prise en charge de plusieurs ID client dans le Server Managed FPID Par conséquent, si vous ne souhaitez pas que l’option Géré par le serveur interrompe votre configuration multi-cookies, vous devez attendre qu’une solution soit publiée.
Mise en garde 2 : suivi inter-domaines
Mise à jour 12 août 2021: Cette mise en garde n’est plus valide, car le suivi inter-domaines fonctionne désormais également avec le cookie FPID.
De même, parce que FPID est HttpOnly, il ne se prête pas au suivi inter-domaines. Le suivi inter-domaines est activé avec le code côté client, et le HttpOnly L’indicateur empêche le code côté client d’accéder à l’ID client pour la décoration de liens inter-domaines.
Il est très probable qu’une fonctionnalité soit conçue pour prendre en charge le suivi inter-domaines, mais jusqu’à ce qu’une telle fonctionnalité soit publiée, vous devez vous abstenir d’utiliser l’option Géré par le serveur.
Mise en garde 3 : Pas d’option sans cookie
Google Analytics côté client peut être utilisé sans cookies. Il s’agit d’une option viable dans l’UE si l’utilisateur n’a pas donné son consentement pour stocker ou conserver des données dans le navigateur ou l’appareil.
Malheureusement, le serveur géré FPID cookie n’a actuellement aucun moyen de se conformer à ce souhait. Les requêtes HTTP entrantes réclamées par le Client avec l’option Géré par le serveur activée génèrent le FPID cookie dans tous les cas.
Encore une fois, s’il s’agit d’une rupture pour vous, vous devrez attendre que le client prenne en charge une option sans cookie.
Résumé
Si les ingénieurs de Google Analytics avaient la possibilité de repenser la façon dont GA conserve l’identifiant client, ils construiraient GA avec le FPID (ou quelque chose de similaire) et éloignez-vous des cookies JavaScript.
Les cookies sont notoirement difficiles à aller droit, mais le fait est que plus ils sont proches de l’accès côté client, moins ils sont sécurisés. Même si l’identifiant Google Analytics ne contient aucune donnée personnelle encodée et ne peut être utilisé comme clé d’accès pour aucun système d’authentification, il reste un vecteur de suivi inter-sites.
Le cookie Google Analytics est un identifiant propriétaire persistant qui peut être réutilisé pour le suivi intersite dans les configurations de synchronisation des cookies, par exemple.
En déplaçant l’identifiant vers un HttpOnly cookie, l’identifiant est protégé contre les abus.
Donner FPID un spin – vous pouvez utiliser l’option JavaScript Managed pour une meilleure compatibilité. Soyez simplement conscient des mises en garde énumérées dans cet article.
