Cookie pihak ketiga akhirnya, benar-benar, sedang sekarat. Safari mematikannya bertahun-tahun lalu, Firefox menyusul, dan Chrome telah menghapusnya secara bertahap. Sebagian besar liputan membingkai ini sebagai kemenangan bagi privasi, dan memang demikian. Namun ia juga diam-diam merusak banyak mesin sah yang selama ini berjalan di atas cookie tanpa ada yang benar-benar memikirkannya secara serius — deteksi penipuan, penyaringan bot, kontinuitas sesi, analitik dasar "apakah ini pengunjung yang sama."
Naluri pertama industri adalah mencari sesuatu yang baru untuk disimpan di perangkat pengguna dan menyebutnya sebagai pengganti. Itu pelajaran yang keliru. Masalah dengan cookie tidak pernah terletak pada mekanisme penyimpanannya; masalahnya adalah premis bahwa Anda mengenali seseorang dengan menanamkan sebuah penanda pada mereka dan membacanya kembali kemudian. Tracio berangkat dari premis yang sama sekali berbeda: Anda dapat memahami siapa yang menggunakan sebuah produk tanpa menyimpan apa pun di perangkat mereka sama sekali.
Apa yang sebenarnya dikerjakan cookie
Untuk mengganti sesuatu, Anda harus jujur tentang apa yang dikerjakannya. Cookie diam-diam mengemban setidaknya empat pekerjaan yang berbeda:
- Deteksi penipuan dan penyalahgunaan — apakah ini pelaku yang sama yang baru saja mencoba lima kartu curian?
- Penyaringan bot — apakah di sini ada manusia sama sekali, atau sebuah peramban headless yang menjalankan skrip?
- Kontinuitas sesi — apakah ini orang yang sama yang menambahkan sebuah barang ke keranjang dua klik lalu?
- Analitik — berapa banyak pengunjung yang berbeda, yang kembali versus yang baru?
Ketika cookie menghilang, keempatnya rusak sekaligus, dan sebagian besar solusi "tanpa cookie" hanya menangani yang analitik. Persoalan yang sulit — penipuan dan bot — justru yang paling penting, karena ada lawan di sisi lain yang secara aktif berusaha mengalahkan Anda.
Identitas dari perilaku, bukan penyimpanan
Tracio membangun sinyalnya dari bagaimana sebuah sesi berperilaku dan perangkat apa yang menjalankannya, bukan dari apa pun yang ditinggalkannya. Dua kelas sinyal yang luas menopangnya.
Yang pertama adalah perilaku. Orang berinteraksi dengan layar dengan cara yang sangat konsisten bagi seorang individu dan sangat sulit dipalsukan secara meyakinkan: irama dan ritme pengetikan, mikro-pola gerakan tetikus dan penggeseran, cara Anda mengoreksi sebuah kesalahan, jeda waktu antaraksi. Tidak ada satu pun dari ini yang disimpan di perangkat. Semuanya diamati pada saat itu dan dinilai pada saat itu.
Yang kedua adalah karakteristik perangkat dan lingkungan — konfigurasi yang diekspos oleh sebuah peramban, dirangkai menjadi sebuah profil. Berdiri sendiri hal itu lemah dan dibagi oleh banyak pengguna, tetapi dikombinasikan dengan perilaku ia menjadi jauh lebih tajam.
Keputusan desain yang krusial adalah apa yang secara sengaja *tidak* dilakukan Tracio. Ia tidak membangun sebuah profil yang mengikuti seseorang dari situs ke situs. Tidak ada grafik identitas lintas-situs, tidak ada ID bersama yang dijual ke jaringan iklan. Sinyalnya hidup di dalam konteks milik satu bisnis itu sendiri, menjawab pertanyaan milik bisnis itu sendiri — apakah sesi ini berisiko, apakah ini bot, apakah ini pengguna kembali seperti yang diklaimnya — dan tidak lebih dari itu. Itulah yang membuatnya menghormati privasi secara rancangan alih-alih lewat siaran pers. Ia patuh GDPR dan CCPA sejak awal justru karena tidak ada pelacakan lintas-situs yang harus direkonsiliasi.
Bot adalah ujian yang sebenarnya
Analitik memaafkan kesalahan; penipuan tidak. Tempat sebuah pendekatan tanpa cookie harus membuktikan dirinya adalah melawan seorang lawan, dan versi paling tajam dari lawan itu adalah bot yang canggih — sebuah peramban headless atau kerangka kerja otomasi yang dibangun khusus agar tampak seperti manusia.
Di sinilah perilaku mengalahkan pengambilan sidik jari. Sebuah bot dapat memalsukan user agent, memalsukan resolusi layar, dan merotasi alamat IP sepanjang hari. Yang sulit dipalsukannya adalah tekstur interaksi manusia: jeda waktu yang sedikit tidak beraturan, lintasan tetikus yang tak sempurna, keraguan sebelum sebuah klik. Sistem berbasis aturan melihat apa yang *diklaim* sebuah sesi dan mudah tertipu. Tracio menilai apa yang sebenarnya *dilakukan* sebuah sesi, dan tanda-tandanya jauh lebih sulit dipalsukan. Keunggulan perilaku itulah yang mendorong akurasi deteksi bot hingga 99,2% terhadap lalu lintas yang direkayasa agar lolos sebagai nyata.
Deteksi penipuan bekerja dengan cara yang sama, satu tingkat di atasnya. Alih-alih izinkan/blokir biner, setiap sesi mendapatkan sebuah skor risiko yang dibangun dari anomali perilaku — sebuah pola interaksi yang tidak cocok dengan pengguna kembali yang diklaimnya, sebuah irama yang tampak dibuat-skrip, ketidaksesuaian antara perangkat dan perilaku. Skor itulah sinyal yang menjadi dasar tindakan tim antipenipuan, dan ia menangkap akun-akun yang lolos setiap pemeriksaan berbasis aturan karena, di atas kertas, tidak ada yang salah tentang mereka.
Seperti apa integrasinya
Terlepas dari seluruh mesin di bawahnya, permukaan bagi pengembang sengaja dibuat kecil. Tracio menyediakan SDK untuk JavaScript, Python, Node.js, dan Go, dan kasus yang umum adalah satu panggilan yang mengembalikan resolusi identitas, sebuah keputusan bot, dan sebuah skor risiko sekaligus.
import { Tracio } from "@tracio/node";
const tracio = new Tracio(process.env.TRACIO_KEY);
const result = await tracio.evaluate({ sessionId, signals });
// {
// returningUser: true,
// isBot: false,
// riskScore: 0.08 // 0 = trusted, 1 = hostile
// }
if (result.isBot || result.riskScore > 0.8) {
return challenge();
}Responsnya kembali dalam waktu di bawah 100 milidetik, yang merupakan angka penentu apakah ini dapat ditempatkan di jalur login atau checkout tanpa menjadi bagian yang lambat. Pengenalan lintas-perangkat menumpang pada evaluasi yang sama — seorang pengguna kembali dikenali dari cara berperilakunya, sehingga ia tetap kokoh melintasi peramban baru atau perangkat baru, tempat sebuah cookie tidak akan pernah mampu.
Membangun untuk dunia yang sudah tiba
Web pasca-cookie bukan lagi sebuah ramalan; ia adalah lingkungan tempat Anda merilis hari ini. Tim yang memperlakukannya semata sebagai kisah privasi akan terkejut ketika angka penipuan mereka memanjat dan lalu lintas bot mereka menjadi tak terlihat. Sinyal-sinyal yang diemban cookie tetap perlu dijawab — Anda hanya tidak bisa lagi menjawabnya dengan menyimpan sesuatu pada pengguna.
Taruhan Tracio adalah bahwa perilaku merupakan fondasi yang lebih baik daripada penyimpanan sepanjang masa: lebih sulit dipalsukan, mustahil dicuri dari sebuah perangkat yang tidak menyimpan apa-apa, dan jujur tentang privasi karena sungguh tidak ada yang mengikuti pengguna ke mana-mana. Itu bukan solusi sementara atas kematian cookie. Itulah yang seharusnya menjadi jawabannya sejak semula.