CloudFlare Web Analytics的技术和隐私审查

上个星期,Cloudflare宣布它是新的Web Analytics.服务:用于计算网站参观者的无需独立独立产品。在其公告中,CloudFlare承诺首先将其新服务提出隐私,不会收集任何个人信息,并且不使用诸如cookie等持久性跟踪。

CloudFlare Web Analytics计数站点访问,页面视图,页面负载性能指标,链接引荐数据,浏览器和操作系统的名称以及访问者的国家。它希望与Google Analytics和Statcounter的相似之处竞争。与市场领导者一样,Google Analytics,CloudFlare提供其服务,而无需任何网站流量限制。大多数其他竞争对手根据每月页面浏览量的数量收取费用。

然而,该服务仅限于仅显示数据过去七天。目前尚不清楚较旧的数据是否保留,并且将在稍后可用,或者如果它以数据缩小的精神删除。我是所有用于自动删除旧数据,但在七天后这样做似乎过于激进。没有有偿层升级到那将增加日志记录时间。我不知道任何其他Web分析平台,可以存储历史数据的历史数据不到六十天(将当前与过去一个月的流量进行比较)。CloudFlare在其有限的促销材料或其分析服务的文档中尚未提及此限制。

CloudFlare似乎已经设计了新的服务,以遵守一般数据保护规范(欧盟GDPR)的“通过设计隐私”原则。CloudFlare声称其新服务不会使用任何持久标识符客户端(如cookie或localstorage.)或不可变形标识符(如设备指纹或IP地址)。

只要任何公司都有广泛的索赔没有收集任何个人信息,我总是持怀疑态度。仅录制访问提供有关隐私敏感主题信息的网页,可以被视为个人信息。如果您操作如此网站,则无论其隐私声明如何,您都应该不使用外部服务进行访问。

在这种类型的服务中相当独一无二,CloudFlare声称它不会存储访问者IP地址的任何部分。但是,CloudFlare隐私政策说明了它可能记录“最终用户”的IP地址,因此有点不清楚其实际策略是什么。

CloudFlare也承诺不使用cookie,但Web Analytics Beacon脚本在浏览器下载时将Cookie丢弃唯一标识符。CloudFlare宣布了计划弃用此饼干经过所有服务。当它在访问者的浏览器中删除Cookie时,它感觉就像一个令人难以置的饼干。

CloudFlare Web Analytics每页使用唯一标识符调用pageloadid.。这是每次加载页面时在本地生成的普遍唯一标识符(UUIDv4)。该标识符用于合并同一页面视图的多个分析数据提交(我稍后会恢复为什么它需要。)标识符不是持久存储的,不能用于跟踪。在依赖于不协调的最终用户生成此标识符时,理论上可以发生随机UUID冲突。由于对访问者的会话重播攻击而不是通过纯随机机会,uuid碰撞更可能发生。这为CloudFlare开辟了有趣的可能性,以更好地检测到其网络的这类攻击。

CloudFlare Web Analytics提交了每页收集两次的数据。这两种提交包含几乎相同的数据。它首先使用XMLHTTPRequest API(XHR)加载时发送它,然后使用更多现代信标API或其他XHR卸载页面卸载页面的第二次。CloudFlare使用相同页面的两份提交使用pageloadid.标识符。

但是,为什么它提交两次相同的数据?它肯定使用XHR API首先解决在旧版本的Safari中与信标API的限制。第一个提交还有助于在页面卸载时提交数据时可能超时的任何浏览器。我只能推测,但我怀疑Cloudflare希望跟踪每个访客在未来每个页面上的时间。Time-Page是一个关键页面质量指标我专注于我的自定义网络分析解决方案。第一个和第二个提交包含加载页面时的时间戳,但第二个提交不包括卸载时间。

CloudFlare等待标准page爆发发送第二次提交的活动。如前所述,使用爆发撤回页面从Chrome,Firefox和Safari中的历史导航缓存。简单地说,这意味着这些浏览器无法缓存呈现页面,如果访问者使用浏览器中的后退和转发按钮导航您的网站,则必须重新加载它们。有CloudFlare没有破坏历史导航缓存,它会持续存在pageloadid.标识符并帮助它合并使用这两个按钮的访问者从访问者进行重复访问。虽然,CloudFlare的脚本似乎是写的,而不是对历史导航缓存的认识。

CloudFlare Web Analytics有一种计数访客人数的有趣方式。行业标准方法是计算唯一的IP地址或分配每个访问者的标识符并计数。相反,CloudFlare Web Analytics计数来自另一个网站或无处的任何页面视图(使用推荐请求标题)作为页面视图和访问者。您网站上的内部流量自身介绍,因此仅被视为页面视图。

但是,目前尚不清楚它如何处理页面重载等情况,因为这会导致浏览器重新提交推荐(SIC)标题并生成一个新的pageloadid.标识符。在不使用持久标识符的情况下解决是一个难题,我发现没有证据表明CloudFlare已经解决了这个问题。CloudFlare收集的数据的一部分包括导航类型,可以识别页面加载是否是单击链接或重新加载当前页面的结果。

CloudFlare Web Analytics收集浏览器性能API可用的一切,包括用于图像和脚本等各个资产的精确和详细的时序信息。CloudFlare目前不使用此信息,但CloudFlare的发布通知提到,它打算随着时间的推移促进填写页面负载性能分析。我很高兴看到更多的客户端数据缩小,而不是将其拉到每个页面的如下数据以及它的加载方式。

Web Analytics Beacon脚本是4,31KB压缩下载(10,27KB未压缩的字节要执行)。与市场领域的Google Analytics'19,01KB压缩下载相比,它相对轻微重量(45,95KB未压缩)。CloudFlare的收益因没有缓存政策而有些破坏。脚本仍然很轻,并且不应对您的页面负载性能产生负面影响。脚本已加载static.cloudflareInsights.com.并提交数据CloudFlareInsights.com.

该脚本已被编码,以使下载更小,但CloudFlare不会发布其源地图。源映射是一个特殊文件,将机器可读的缩小代码转回人类可以读取的东西。发布源地图有助于提高代码和算法透明度,并使写作评论如此少耗费。

在我对服务的测试中,我发现CloudFlare Web Analytics MisIndies几乎所有页面视图都会视为访问/(根路径/主页)。这完全破坏了它跟踪您网站上哪些页面的能力接收最多的访客。CloudFlare的脚本收集了正确的路径,因此这似乎是CloudFlare如何处理提交的错误。

除Chrome之外的每个Web浏览器现在都有一些内置的反跟踪块列表默认情况下。这些阻止列表要么限制这些服务的设置cookie的能力(对cloudflare无关),或阻止浏览器与它们进行通信。我怀疑CloudFlare的隐私姿态将与反跟踪和广告浏览器扩展和类似服务有很大的差异。CloudFlare Web Analytics域可能(且不可行)最终以与尊重人们的隐私在CloudFlare的持续时间上的跟踪师,这是持续的块。反追踪者的目标是阻止尽可能多的跟踪,而不促进或允许列出较少的隐私侵入替代品。

Cloudflare符合要求和电子前沿基金会的要求(eff)不跟踪(dnt)政策(即使是非DHT信令访客)。它可以获得其Web分析脚本允许列出的eff的大约2,800万用户隐私獾通过公开致力于EFF的反跟踪政策延期。所有这一切都需要在其上重新发布政策文件* .cloudflareInsights.com.域名。

在关闭时,我仍然有这个口头禅在我的脑海里重复一下:“如果你不为服务支付,那么你是产品。”CloudFlare如何免费提供此服务?维护,开发和经营服务肯定会花钱。一些网站所有者可能会被绩效数据所令人信服,表明他们的慢速网站可以通过移动到CloudFlare的企业产品来更快地进行。我怀疑它会导致巨大的销售额。

我猜,CloudFlare希望退出其服务是页面加载性能数据。此数据以前仅适用于Google可用,从而通过其免费的Chrome Web浏览器获取。CloudFlare的业务正在尽可能快地提供网站。Web Analytics Service将帮助它收集大量和精确的“商业智能”,了解现实世界访客真实世界的现实网站上的慢速加载时间。

CloudFlare Web Analytics对于网站所有者来说是一个很好的选择,这些业主希望只有关于他们网站的基本信息以及哪些页面很受欢迎(假设它修复了页面路径错误)。yabo88软件下载如果您想随着时间的推移和趋势跟踪您的成功,这不适合您。该服务有足够的改进空间,但我认为CloudFlare是一个良好的开端。

相关阅读