В статье — как работают технологии stable ID, device fingerprint и SSO, чем они лучше cookies и как помогают сегментировать аудиторию, считать повторные покупки и запускать персональные кампании.
12 августа 2025
Какие технологии придут на смену cookies
Какие технологии придут на смену cookies
Благодаря cookies пользователям не приходится каждый раз вводить логин и пароль в почте или интернет-магазинах, а компании могут показывать аудитории рекламу на основе ее интересов. Однако у них есть недостатки. Сookies собирают данные не только для сайта, но и для сторонних систем, например рекламных, хранят ограниченный объем информации, а пользователь в любой момент может их удалить.
Вместе со старшим маркетологом Mindbox Петром Ермаковым разобрались, какие технологии придут на смену cookies и чем они лучше для бизнеса.
Что такое cookies
Cookies — это текстовые файлы, которые сохраняются на устройстве пользователя, когда он посещает какой-то сайт. Люди сталкиваются с технологией постоянно: при первом заходе на новый ресурс они видят запрос на принятие cookies или уведомление о том, что сайт их собирает. Это нужно, чтобы хранить информацию о посетителях. Например, человек зашел в интернет-магазин, добавил товар в корзину, но не завершил покупку. Через несколько дней он вернется на сайт и увидит, что товар все еще в корзине. Это происходит благодаря cookies.
Cookies выглядит как набор символов, записанных в одну строку
Cookies собирают персональные и цифровые данные:
- Техническую информацию: IP-адрес, тип устройства и браузера, операционная система, язык и разрешение экрана.
- Поведение на сайте: источник трафика, например реклама, поиск или соцсети, посещенные страницы, переходы между ними и время, проведенное на сайте.
- Данные о сессии: логин, пароль, содержимое корзины, настройки, например язык интерфейса.
Данные, которые собирают cookies сайта, можно посмотреть в браузере через функцию «Инструменты разработчика»
Cookies позволяют отслеживать поведение пользователей, понимать, какие страницы популярны, а с каких люди чаще уходят. Также технология помогает настроить персонализацию контента и показывать посетителям сайта то, что будет им интересно. Например, пользователь, который смотрел зимние куртки на маркетплейсе, увидит их в рекомендованных товарах. Вся эта информация позволяет персонализировать маркетинг: настраивать ретаргетинг, чтобы «догнать» рекламой тех, кто уже был на сайте, и показать им товары, которые они просматривали.
Бренд постельного белья и маркетплейс показывают рекламу пользователю, который был на их сайтах за последний месяц
Cookies могут использовать для сбора данных о пользователях не только сайты, которые посещают пользователи, но и другие сервисы. Например, партнерские ресурсы и рекламные системы, размещающие там объявления. Поэтому cookies бывают трех типов:
- First-party cookies — от самого сайта. Они хранят, например, логин, выбранный пользователем язык интерфейса, просмотренные или отложенные в корзину товары.
- Second-party cookies — от партнеров сайта. Такие данные в интернет-магазине может собирать платежная система, например, номер заказа, сумма и способ оплаты.
- Third-party cookies — от сторонних сайтов, допустим, рекламных платформ, встроенных в страницу. Они хранят, например, историю посещений разных сайтов, просмотры и клики по рекламным баннерам, пол, возраст, просмотренные товары.
Почему технология cookies уже не так актуальна
У cookies есть ограничения по сбору и хранению данных, проблемы с безопасностью и конфиденциальностью:
Ограниченная приватность. Cookies читает и записывает не только сайт, но и сторонние скрипты, например, рекламные сети. Фактически действия пользователей массово отслеживаются без их ведома через third-party cookies. Поэтому браузеры Safari и Firefox блокируют такие cookies, разрешая только first-party cookies и second-party cookies. A Google Chrome спрашивает пользователей, готовы ли они делиться своими данными со сторонними сайтами.
Отсутствие связки разных устройств. Cookies сохраняются локально на конкретном устройстве и браузере и не «переходят» с пользователем, когда он меняет устройство или открывает сайт в другом браузере. Это мешает строить единый профиль пользователя и плохо подходит для кросс-платформенного маркетинга, например ретаргетинга. Допустим, посетитель зашел на сайт с Chrome на телефоне и положил товар в корзину, а потом перешел в Safari на ноутбуке. Рекламу брошенного товара он увидит только в Chrome на телефоне, но не на ноутбуке, потому что cookies не может связать разные устройства и браузеры.
Ограничения по объему. Обычно cookies весят не больше 4 Кб, а сайты хранят 20–50 таких файлов на пользователя. Этого может быть недостаточно для современных веб-приложений, которые работают с большими данными и сложной персонализацией. Из-за того, что объема памяти не хватает, часть данных пользователя может потеряться или сайт будет работать медленнее.
Уязвимости. Cookies могут быть украдены через XSS-атаки — вредоносные скрипты. Если cookies не использует защитные технологии, например HttpOnly и Secure, то вредоносный скрипт сможет считать сессионный токен — уникальный код, по которому сайт узнает, что пользователь авторизован. Благодаря данным токена, злоумышленники смогут получить доступ к аккаунту посетителя сайта.
Какие технологии придут на замену cookies
По мере того как cookies теряют актуальность, разработчики ищут более надежные и безопасные способы идентификации пользователей. Рассмотрим технологии, которые уже сейчас становятся альтернативой.
Auth SSO
Auth SSO (authentication single sign-on) — это технология единого входа, которая позволяет пользователю один раз авторизоваться, чтобы получить доступ сразу к нескольким сервисам и сайтам без повторного ввода логина и пароля. Например, когда человек входит в свою учетную запись Google, то может пользоваться Gmail, YouTube, Google Drive без дополнительной авторизации.
Яндекс использует Auth SSO как доступ пользователей сразу к нескольким сервисам, например «Маркету», «Лавке», такси, каршерингу и доставке
Single sign-on работает следующим образом. Когда пользователь проходит авторизацию в одном сервисе, система аутентификации (SSO-провайдер) подтверждает его личность. После этого браузер или приложение пользователя получает токен — специальный цифровой ключ, который действует как пропуск в другие системы. Он состоит из набора цифр и букв (допустим, eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9…). Токен хранит информацию о человеке: его ID, роль (администратор или пользователь) и срок действия самого токена. Следом по защищенным каналам он передается в другие приложения или сервисы, которые доверяют SSO-провайдеру и распознают пользователя как уже авторизованного.
Как работает single sign-on
Auth SSO используется во многих сферах — от корпоративных систем до онлайн-сервисов. Например, на базе технологии работает авторизация в Microsoft 365, Google Workspace и Atlassian. Single sign-on применяется не только для собственных сервисов компаний, но и для входа на сторонние сайты и приложения. Например, через аккаунт Google можно авторизоваться на разных иностранных сайтах, не связанных с организацией. А на многих российских сайтах есть возможность войти через аккаунт VK.
Device fingerprint и hardware fingerprint
Device fingerprint — это цифровой «отпечаток» устройства, например смартфона или компьютера. Он состоит из комбинации параметров, доступных через браузер или операционную систему:
- модель и тип устройства;
- разрешение экрана;
- версия операционной системы и браузера;
- установленные шрифты и плагины;
- часовой пояс;
- язык интерфейса;
- настройки cookies, WebGL, Canvas и других API браузера.
Все эти параметры по отдельности не уникальны, но в совокупности создают характерный «отпечаток», по которому можно с высокой вероятностью распознать одно и то же устройство при повторных визитах. Это возможно даже без использования cookies или входа пользователя в аккаунт.
У device fingerprint нет фиксированного вида, как у файла cookies. Набор данных, собранных об устройстве пользователя, можно представить как строку (например, Fingerprint ID: 5a9f57c3e2d44501a4f190d1b837d8a4) или список параметров.
Device fingerprint в виде JSON-объекта
Device fingerprint не хранится на устройстве пользователя, а создается и используется на стороне сервера или аналитической системы. Например, онлайн-кинотеатры с его помощью добавляют ограничения доступа, если подпиской можно пользоваться только с определенного количества устройств. Также идентификатор используется в финтехе. Допустим, при входе в личный кабинет банка с незнакомого системе устройства, device fingerprint будет отличаться от обычного. В таком случае у пользователя могут попросить дополнительное подтверждение личности.
Device fingerprint также используется для проверки пользователей на государственных сайтах, например mos.ru
В маркетинге device fingerprint позволяет:
— Узнать пользователя. Если человек открыл email-рассылку и перешел на сайт, система определит его устройство, даже если cookies были удалены или заблокированы.
— Отследить действия после касания. Например, при открытии письма в его HTML-код вставляется скрытый пиксель. Через device fingerprint можно связать открытие письма и клик по ссылке с дальнейшими действиями пользователя на сайте.
— Добавить персонализацию для неавторизованных посетителей. Даже если пользователь не зашел в личный кабинет сайта, device fingerprint помогает персонализировать контент, например показать релевантные товары или напомнить о брошенной корзине.
Hardware fingerprint — это отпечаток «железа», то есть оборудования. Он похож на device fingerprint, но формируется не на основе веб-характеристик вроде браузера и операционной системы, а на базе идентификаторов физического оборудования, например компьютера и роутера.
Hardware fingerprint может включать несколько параметров. На их основе система (например, корпоративное ПО) может сформировать уникальный ключ устройства
Hardware fingerprint обычно включает:
- MAC-адрес — идентификатор сетевого адаптера, например вайфая или интернет-кабеля;
- серийный номер процессора, жесткого диска или видеокарты;
- уникальные идентификаторы Android и iOS-устройств, например Android ID или IDFA;
- IMEI — номер, присваиваемый каждому мобильному телефону;
- BIOS UUID — идентификатор компьютера.
Идентификатор обычно используется внутри приложений и защищенных систем. Например, в приложениях банков и криптокошельках он позволяет привязать аккаунт к устройству через IMEI, MAC-адрес или UUID. Также hardware fingerprint помогает предотвратить подделку или подмену POS-терминалов и касс. Кроме того, идентификатор используется в корпоративных системах, где вход возможен только с авторизованных устройств.
В маркетинге hardware fingerprint помогает повысить точность идентификации пользователя и бороться с мошенничеством. Например, при запуске кампании для финансового сервиса с помощью hardware fingerprint можно исключить пользователей, которые открывали письма и регистрировались с подозрительно часто повторяющихся устройств.
Hard ID и stable ID
Hard ID — устойчивый идентификатор, привязанный к верифицированному источнику, например к email, телефону, Auth SSO, логину и паролю от личного кабинета. Его особенность — 100% точность, потому что hard ID всегда принадлежит конкретному пользователю. Также это стабильный идентификатор, то есть не меняется при смене устройства или браузера.
У hard ID нет четкого набора данных, он зависит от настроек системы, которая их собирает. Чаще всего идентификатор содержит:
- hardware fingerprint, включая MAC-адрес, BIOS UUID, модель устройства;
- device fingerprint — браузер, язык, часовой пояс;
- идентификатор аккаунта, если пользователь авторизован;
- хеши email или телефона.
Вся информация о пользователе хранится в зашифрованном виде, поэтому hard ID может выглядеть как строчка, состоящая из набора символов
Hard ID широко применяется в маркетинге и клиентском сервисе. В customer data platform он позволяет собирать данные о пользователях с разных устройств и каналов: сайта, приложения и офлайн-касс. Это помогает создать единый профиль клиента, отслеживать все его действия и показывать персонализированную рекламу без использования cookies.
Кроме того, hard ID используется в финансовых сервисах для отслеживания мошенничества и подозрительных действий пользователей. Например, если клиент обычно входит с iPhone, но вдруг совершает крупный перевод с неизвестного Android-устройства, система блокирует операцию для проверки.
Stable ID — стабильный идентификатор, созданный на основе нескольких цифровых признаков. Он создается и поддерживается независимо от устройства, браузера или способа авторизации пользователя. В отличие от hard ID, который привязан к конкретному источнику входа, например к email или логину, stable ID привязан к пользователю как личности вне зависимости от устройства, браузера или канала взаимодействия. По сути, это цифровой профиль пользователя, который не теряется, даже если человек вошел с нового телефона, сменил браузер или удалил cookies.
Обычно stable ID создается после авторизации пользователя через email, телефон, соцсети. Идентификатор сохраняется в CDP или CRM-системе и фиксирует все действия человека в связанных системах: например, добавление товара из каталога в избранное, чтение пушей, открытие email-рассылок, сканирование QR-кода в офлайн-магазине.
Сам по себе stable ID не содержит данных о пользователе — это просто уникальный идентификатор, например user_389d2a или a1b2c3d4e5. Однако он связан с профилем в CDP или CRM-системе, в котором хранится персональная информация:
Контактные данные: email, телефон, ID в мессенджере, учетные записи.
Поведенческие данные: история посещений сайта и приложений, переходы по ссылкам в рассылках, просмотренные товары, оформленные заказы, реакции на пуши и SMS.
Устройства и каналы: девайсы, браузеры, геолокация по IP-адресу, каналы коммуникации, например email, приложение, посещение офлайн-магазина.
Характеристики и сегменты: пол, возраст, предпочтения по категориям товаров, принадлежность к сегментам, например «новый клиент», «VIP», «не открывал рассылки 30 дней».
Учитывая данные, которые может хранить идентификатор, stable ID используется в разных точках контакта с клиентом. Например, в интернет-магазинах — для объединения покупок и просмотров с разных устройств, а в мобильных приложениях — для персонализации контента и рекомендаций. Кроме того, stable ID собирает данные для маркетинговых платформ, чтобы показывать аудитории персонализированную рекламу и анализировать их поведение. В офлайне идентификатор также позволяет отслеживать поведение клиентов. Например, в розничных магазинах это можно делать через программы лояльности и бонусные карты.
Идентификатор, похожий на stable ID, использует Google Analytics для отслеживания переходов пользователей из рекламы на сайт или в приложение
Почему новые технологии лучше cookies
Разберем преимущества Auth SSO, device fingerprint, hardware fingerprint, hard ID и stable ID по сравнению с традиционными cookies.
Возможности
Cookies
Новые технологии
Стабильность
Легко удаляются пользователем или браузером.
Сохраняют идентификацию при чистке кеша, а в случае Auth SSO и stable ID — даже при смене устройства.
Централизация данных
Данные хранятся локально в браузере пользователя и не передаются автоматически другим сервисам, например CRM-системам или email-платформам. При этом они доступны только сайту, который их установил, если это не third-party cookie.
В случае Auth SSO доступ к нескольким системам можно подключить или отключить одной командой, что полезно для корпоративной безопасности. А stable ID позволяет собирать в одном месте, например в CDP или CRM-системе, данные о клиентах из разных каналов коммуникации.
Кросс-платформенность
Работают только в пределах одного браузера на одном устройстве.
Auth SSO и stable ID позволяют отслеживать поведение клиента на разных устройствах и каналах. Например, можно получить данные о его покупках, просмотрах товаров и реакции на рассылки.
Точная персонализация
Работает, если клиент использует одну пару «браузер — устройство». Если он сменит их, персонализации не будет, потому что cookies сочтет его новым посетителем.
Новые технологии используются для создания единого пользовательского профиля, что улучшает сегментацию, рекомендации товаров и эффективность рекламы. Например, пользователь авторизовался через Auth SSO на сайте и искал кроссовки, в приложении добавил их в избранное, а в итоге в офлайн-магазине купил носки. Позже ему предлагают кроссовки с персональной скидкой в приложении, а на почту приходит письмо с подборкой спортивной одежды.
Увеличение конверсии
Вынуждает пользователя авторизоваться после перехода из рекламы на сайт. Лишние шаги снижают конверсию, особенно среди пользователей мобильных устройств.
Аппаратные и цифровые отпечатки устройства сложно подделать, что делает их полезными для антифродовых систем, например в банках или e-commerce. Device fingerprint и hardware fingerprint помогают распознать повторяющиеся действия с одного устройства, например при создании поддельных аккаунтов, и делают это даже без входа пользователя в аккаунт.
Работа без участия пользователя
Пользователь должен согласиться на сбор данных и принять cookies, заходя на новый сайт или с нового устройства.
В случае с device fingerprint, hardware fingerprint, hard ID и stable ID идентификация происходит на серверной стороне без участия человека. Auth SSO требует присутствия пользователя при первой авторизации, но для дальнейшей работы не нуждается в его участии.
Работа в условиях запрета third-party cookies
Опираясь только на first-party и second-party cookies, компании не будут знать, где пользователь видел рекламу. Осложняется ретаргетинг — не возможно найти пользователей, которые уже были на сайте, на других ресурсах.
Не зависят от third-party cookies и продолжают работать в условиях их полной блокировки в браузерах.
У новых технологий есть свои особенности, которые пока мешают широко их использовать. Прежде всего, их внедрение стоит дорого и требует большого объёма инфраструктуры. Например, для перевода сотрудников на Auth SSO компании придется потратить минимум $1000 на оплату подписок на серверы авторизации и хранилища данных. И это не считая затрат на часы разработчиков, подготовку внутренней инфраструктуры и последующую поддержку работы технологии.
Кроме того, Auth SSO, device fingerprint, hardware fingerprint, hard ID и stable ID в основном используются для решения не маркетинговых, а аналитических задач или для информационной безопасности.
В России немного технически подкованных маркетологов, которые способны использовать возможности новых технологий. Часто их применяют аналитики и другие специалисты для своих нужд. Например, hard ID помогает проводить антифрод-оценку и выявлять подозрительное поведение пользователей. Но другие специалисты не всегда поднимают ценность трекинга подобных слоев данных для маркетинга.
Пока рано говорить о том, что в ближайшем будущем новые технологии полностью заменят cookies, скорее они будут использоваться в связке. Например, авторизация, на которой построен Auth SSO, — не всегда естественное поведение пользователя. Он может использовать сайты без идентификации, например, информационные ресурсы. В этом случае возможности cookies по сбору данных о его поведении все еще актуальны.
Несмотря на развитие технологий идентификации cookies по-прежнему играют важную роль в рекламной экосистеме, особенно когда речь идет о таргетинге и ретаргетинге.
Рекламные системы работают с унифицированными, кросс-сайтовыми идентификаторами, которые можно передавать и обрабатывать в рамках отраслевых стандартов. А новые технологии чаще всего являются внутренними инструментами конкретных компаний и применяются в рамках одного домена или экосистемы. У рекламных платформ нет прямого доступа к этим идентификаторам, например, они не могут получить hardware ID клиента определенного магазина, потому что эти данные закрыты и не передаются наружу
В результате на таких ID нельзя выстроить масштабный рекламный таргетинг. Они хороши для first-party аналитики, но пока не особо помогают в контексте открытых рекламных аукционов. То есть новые технологии помогают отслеживать действия только собственных клиентов, но бесполезны для поиска новой аудитории.
