Жизнь как коробка с печеньками: что скрывают cookie-баннеры / forpes.ru

Главная
Жизнь как коробка с печеньками: что скрывают cookie-баннеры

Жизнь как коробка с печеньками: что скрывают cookie-баннеры +26

31.10.2025 13:01

About_it 0 1500 Источник

Вы точно их видели — и не один раз. Баннеры с cookie за последние годы стали обычным делом. Разберём, что такое cookie-баннер, как он работает и почему часто мешает пользователю. Если вы маркетолог или управляете сайтом и не понимаете, зачем на нём нужен баннер с cookie — эта статья всё объяснит. Детали под катом.

Зачем нужны печеньки

Эти уведомления появились из-за Директивы e-Privacy 2002 года, её ещё называют «европейским законом о cookie». Изначально cookie лишь упрощали взаимодействие пользователя с сайтом. Сохраняли личные предпочтения, статус авторизации, содержимое корзины и поведенческие параметры для аналитики.

Однако с развитием они стали не просто отслеживать действия, но и формировать уникальные идентификаторы, с помощью которых можно индивидуализировать поведение человека онлайн. Это поставило cookies в центр внимания регуляторов и стало причиной ужесточения требований в ряде стран с 2018 года — на фоне вступления в силу GDPR в Евросоюзе и последующих изменений в России (152-ФЗ, 420-ФЗ с 2024 года).

Что такое баннер-cookie?

Баннер с cookie — это всплывающее окно на сайте, которое сообщает пользователю, что сайт использует cookie. Типичное: «Мы используем cookie, продолжая пользоваться сайтом, вы соглашаетесь..». Но на самом деле баннер — это не просто уведомление. Это полноценное окно для получения согласия. Почему? Потому что при использовании cookie, особенно тех, что собирают персональные данные пользователей, вступают в силу законы о конфиденциальности.

Большинство таких законов регулируют обработку персональных данных. А именно их и собирают многие cookie: данные о пользователе, которые потом идут на маркетинг и ретаргетинг.

В России закон «О персональных данных» (№152-ФЗ от 27.07.2006) закрепил за пользователями право на конфиденциальность. Это значит, что любой сайт, который собирает персональные данные — включая cookie — обязан проинформировать об этом посетителя и дать ему возможность отказаться. Проще говоря, для российских ресурсов баннер или отдельная страница с политикой конфиденциальности — не просто хорошая практика, а требование законодательства. В свою очередь, в Европе эту роль выполняет GDPR.

Что такое cookie?

Cookie — это небольшие текстовые файлы, которые сайт сохраняет в браузере посетителя. В них обычно лежит информация о предпочитаемом языке, содержимом корзины и т. д. и т. п. Но в cookie можно хранить и более интересные данные, например — идентифицирующую информацию.

Речь о уникальном cookie — это небольшой файл, который сервер создаёт и сохраняет в браузере пользователя с уникальным идентификатором. По этому идентификатору сайт «узнаёт» посетителя при повторных заходах: кто он, что уже сделал на сайте, какие у него настройки и т.п.

Пример: как создать уникальный cookie на JavaScript

Вот пример, который создаёт cookie с уникальным id на 30 дней. Обратите внимание: если вы хотите, чтобы cookie было недоступно из JavaScript, ставьте его с сервера как HttpOnly — тогда JS его не увидит и не изменит.

function setCookie(name, value, days) {
  const date = new Date();
  date.setTime(date.getTime() + days  24  60  60  1000);
  const expires = "expires=" + date.toUTCString();
  document.cookie = ${name}=${value}; ${expires}; path=/;
}

// Генерация уникального идентификатора
const uniqueID = 'user_' + Math.random().toString(36).slice(2, 11);
setCookie('unique_cookie', uniqueID, 30);

Этот код запишет в браузер cookie unique_cookie=user_xxx и оно протянется 30 дней, если пользователь не очистит данные браузера.

Они решают две основные задачи: улучшают работу сайта для посетителя и отслеживают поведение, чтобы собирать данные для маркетинга. Персональными данными считаются любые онлайн-идентификаторы: ID устройств, пользовательские ID, IP-адреса и так далее.

Обычно cookie ставят те внешние сервисы, которыми вы пользуетесь на сайте. Большинство куки реализовано из-за прямого юридического обязательства. Исключением стали только «необходимые» cookies, обеспечивающие базовое функционирование сайта. Всё остальное, подлежит отдельному информированному согласию.

Проще говоря, согласие обычно хранят как набор переключателей — что именно пользователь разрешил. Например, в виде JSON:

{ necessary: true, preferences: false, statistics: true, marketing: false } — то есть «необходимые куки — ок, персонализация — нет, статистика — да, реклама — нет».

Важно: не путайте cookie и кэш в браузере

Обычно браузеры предлагают очистить кэш и cookie вместе, поэтому возникает путаница.

Кэш — это место в браузере, где находятся копии «тяжелых» файлов, которые есть на сайте — картинки, видео, стили, скрипты. Если он сохраняется, страница загружается быстрее. По умолчанию кэш удаляется вручную. Можно настроить автоматическую очистку в настройках браузера.

Если кэш экономит время, то cookie делают серфинг более удобным и обеспечивают правильную работу сайтов.

Почему куки раздражают и как это портит аналитику

Куки раздражают потому, что они всплывают прям перед полезной информацией. Эксперимент RTB House это хорошо иллюстрирует. В их тесте e-commerce участвовало более 140 тысяч уникальных пользователей и десятки вариантов баннеров. Оказалось, что не только текст баннера важен, но и его «архитектура выбора», расположение и то, как пришёл пользователь — с органики или с платной рекламы. Всё это прямо влияет на поведение пользователей в дальнейшем, а значит портит или искажает аналитику.

Например, для десктопа лучшей схемой выбора оказалась пара кнопок «ОК / Настройки». Вариант «Да/Нет» давал примерно на 20% меньше согласий среди органики и на 15% меньше среди платного трафика. Ещё хуже показывала себя версия с «категориями cookie» — принятие снижалось примерно на 40% (органика) и на 45% (платный трафик).

При этом размещение решает почти всё: центральный баннер (даже с затемнением фона) собирает максимальные согласия, а низко размещённый баннер на 85% уменьшает принятие у органических пользователей и на 80% — у платных. Итог: плохо оформленный или «незаметный» баннер только раздражает.

Разница между органикой и платным трафиком заслуживает отдельного упоминания. Платные пользователи чаще соглашаются на куки с навязчивыми баннерами, но при этом реже возвращаются повторно. Органические пользователи ведут себя иначе: для них принятие или непринятие cookie в тестах почти не коррелировало с числом возвратов. А какой вывод? Агрессивная тактика может дать краткосрочный рост согласий, но стоить лояльности и искажать метрики удержания и LTV — то, что выглядит выигрышем в конверсии сегодня, может обернуться потерями завтра.

Мобильная картина похожа. «ОК/Настройки» снова лучше всех, а «Да/Нет» на мобильных даёт до 40% меньше согласий среди органики (и примерно на 15% меньше у платного трафика). Цвета кнопок и контраст тоже влияют: варианты с ярко различающимися кнопками повышают согласие на 15–25% по сравнению со сбитыми однотонными интерфейсами. Ещё одно наблюдение: принятие cookie коррелирует с глубиной сессии. А теперь по-человечески — чем дольше пользователь остаётся (больше просмотренных страниц), тем выше вероятность согласия.

Прежде всего, баннеры влияют на состав аудитории, которая дала согласие, и, как следствие, на данные, которые вы собираете. Вы получите смещённую выборку: больше согласий от определённых сегментов (например, от платных пользователей при агрессивных баннерах) и меньше от других. Это искажает метрики конверсии, удержания и поведенческую аналитику. Вывод: тестируйте баннеры отдельно — и оценивайте ещё и последующие метрики (повторные визиты, LTV).

Вот несколько вариантов, как могут выглядеть нестандартные баннеры:

Псс... (что-то хотят по секрету). Источник. — Псс... (что-то хотят по секрету). *Источник*.

Жизнь лучше с печеньем(куки). Источник. — Жизнь лучше с печеньем(куки). *Источник*.

Сайт обыгрывает куки-баннер дизайном. Источник. — *Сайт обыгрывает куки-баннер дизайном.* *Источник*.

Игривая манера: «..Мы предполагаем, что вас это устраивает, но вы можете отказаться, если хотите». Источник. — *Игривая манера: «..*Мы предполагаем, что вас это устраивает, но вы можете отказаться, если хотите». *Источник*.

Насколько куки помогают приватности

Их эффективность весьма ограничена. Согласие на использование cookie-файлов формально. И отделяет необходимые для работы сайта данные (например, для сохранения сессии или настроек) от трекеров для рекламы и статистики. Однако баннер никак не блокирует более продвинутые техники отслеживания, такие как browser fingerprinting или server-side stitching, а также не контролирует другие клиентские хранилища вроде LocalStorage или IndexedDB. Даже если отключить все cookie через баннер, сайт может сохранять идентификаторы пользователя и собирать телеметрию альтернативными способами, включая ETAG, Canvas API и встроенные сессионные механизмы на сервере.

Вот как злоумышленники в теории могут использовать файлы:

Кража сессий (Session Hijacking). Если cookie не защищены, злоумышленник может перехватить их через сеть и использовать для доступа к аккаунту пользователя.
XSS-атаки (Cross-Site Scripting). Если веб-сайт уязвим для таких атак, злоумышленник может внедрить вредоносный скрипт и отправить с него cookie-файлы на свой сервер. Так сессия будет украдена, и доступ к вашему аккаунту окажется под угрозой.
Отсутствие у cookie атрибутов безопасности. Например, атрибут HttpOnly запрещает доступ к файлам через JavaScript-код, что блокирует сценарии, с помощью которых мошенники могут украсть cookie и тем самым даже завладеть вашим аккаунтом. А без атрибута secure cookie передаются по незащищенным соединениям. Через публичный Wi-Fi в теории их возможно получить, перехватить вашу сессию и узнать личные данные.

Впрочем, уберечь себя и персональную информацию все равно можно.

Альтернативой cookie стали first-party analytics системы (например, Matomo, Plausible), агрегированная и дифференцируемая аналитика (ограниченный набор данных без индивидуальных профилей), contextual advertising и общий принцип минимизации сбора данных. Суть в том, чтобы собирать только то, что по-настоящему нужно для сервиса и не использовать уникальные идентификаторы без веских оснований.

Что касается требований GDPR, акцент делается на понятии «unique identifiers» и любой информации, которая позволяет выделить пользователя среди других (это не только cookie, но и email, device id, fingerprint и т. д.). GDPR однозначного и добровольного согласия пользователя («informed explicit consent») для сбора и обработки персональных данных, с полным объяснением целей, способов использования и права на отказ.

Европейский регулятор прямо указывает: если можно идентифицировать пользователя даже без cookie, такое поведение всё равно подпадает под требования GDPR и должно соответствовать принципам минимизации данных и прозрачности.

Если вы терпеть не можете печеньки

Вы можете отключить куки (но для правильной работы сайтов они должны быть всё-таки активны).

Вот мини-инструкция:

1. В настройках браузера откройте раздел «Конфиденциальность» или «Безопасность» (в зависимости от браузера может отличаться).

2. Функцию «Разрешить/Принимать файлы cookie» выключаем. А если хотите включить, то смотрите, чтобы пункт «Блокировать» или похожий не был выбран.

Но если всё-таки без куки никуда, то вот вам практические рекомендации:

Физические серверы или облачные хранилища должны размещаться на территории России.
Не забывайте ~~про большого брата~~ уведомлять Роскомнадзор о передаче персональных данных и всё-всё документировать.
Сделайте так, как в примере выше: внедрите явный механизм получения согласия на cookie
И ещё проверьте через WHOIS и IP-геолокацию, где физически находятся серверы/IP-адреса — это поможет понять, не попадут ли данные в юрисдикцию с другими правилами передачи.