تھرڈ-پارٹی کوکی بالآخر، واقعتاً، مر رہی ہے۔ Safari نے اسے برسوں پہلے مار ڈالا، Firefox نے پیروی کی، اور Chrome نے اسے مرحلہ وار ختم کر دیا۔ زیادہ تر تبصروں نے اسے پرائیویسی کی جیت کے طور پر پیش کیا، اور ہے بھی۔ مگر اس نے چپکے سے بہت سی جائز مشینری بھی توڑ دی جو کوکیز پر چل رہی تھی بغیر اس کے کہ کسی نے اس پر سنجیدگی سے سوچا ہو — فراڈ کی نشاندہی، بوٹ فلٹرنگ، سیشن کا تسلسل، اور یہ بنیادی اینالٹکس کہ «کیا یہ وہی وزیٹر ہے»۔

صنعت کا پہلا ردِعمل یہ تھا کہ صارف کے آلے پر رکھنے کے لیے کوئی نئی چیز ڈھونڈی جائے اور اسے متبادل کہہ دیا جائے۔ یہ غلط سبق ہے۔ کوکیز کا مسئلہ کبھی ذخیرہ کرنے کا طریقہ نہیں تھا؛ مسئلہ یہ مفروضہ تھا کہ آپ کسی پر ایک نشان لگا کر اور بعد میں اسے پڑھ کر اس کی شناخت کرتے ہیں۔ Tracio بالکل ایک مختلف مفروضے سے شروع ہوتا ہے: آپ یہ سمجھ سکتے ہیں کہ کوئی پروڈکٹ کون استعمال کر رہا ہے، بغیر اس کے آلے پر کچھ بھی ذخیرہ کیے۔

کوکیز دراصل کیا کر رہی تھیں

کسی چیز کو بدلنے کے لیے آپ کو اس بارے میں دیانت دار ہونا پڑتا ہے کہ وہ کیا کرتی تھی۔ کوکیز چپکے سے کم از کم چار مختلف کام اٹھائے ہوئے تھیں:

  • فراڈ اور بدسلوکی کی نشاندہی — کیا یہ وہی کردار ہے جس نے ابھی پانچ چوری شدہ کارڈ آزمائے؟
  • بوٹ فلٹرنگ — کیا یہاں کوئی انسان بھی ہے، یا کوئی سکرپٹ چلاتا ہیڈ لیس براؤزر؟
  • سیشن کا تسلسل — کیا یہ وہی شخص ہے جس نے دو کلک پہلے کارٹ میں ایک چیز شامل کی تھی؟
  • اینالٹکس — کتنے الگ الگ وزیٹرز، لوٹنے والے بمقابلہ نئے؟

جب کوکیز رخصت ہوئیں تو یہ چاروں بیک وقت ٹوٹ گئیں، اور بیشتر «کوکی لیس» حل صرف اینالٹکس والے کو ہی نمٹاتے ہیں۔ مشکل مسائل — فراڈ اور بوٹ — ٹھیک وہی ہیں جو سب سے زیادہ اہم ہیں، کیونکہ دوسری طرف ایک حریف ہے جو فعال طور پر آپ کو شکست دینے کی کوشش کر رہا ہے۔

شناخت طرزِ عمل سے، ذخیرے سے نہیں

Tracio اپنا اشارہ اس سے بناتا ہے کہ کوئی سیشن کیسے برتاؤ کرتا ہے اور کس آلے پر چلتا ہے، نہ کہ اس کی چھوڑی ہوئی کسی چیز سے۔ اسے دو وسیع اقسام کے اشارے کھلاتے ہیں۔

پہلی طرزِ عمل کی ہے۔ لوگ اسکرین سے اُن طریقوں سے تعامل کرتے ہیں جو کسی فرد کے لیے حیرت انگیز حد تک مستقل اور یقین کے ساتھ نقل کرنا حیرت انگیز حد تک مشکل ہوتے ہیں: ٹائپنگ کا آہنگ اور تال، ماؤس کی حرکت اور اسکرول کے خرد-پیٹرن، آپ کسی غلطی کو کیسے درست کرتے ہیں، اعمال کے درمیان وقت۔ ان میں سے کچھ بھی آلے پر ذخیرہ نہیں ہوتا۔ یہ اُسی لمحے مشاہدہ کیا جاتا ہے اور اُسی لمحے پرکھا جاتا ہے۔

دوسری آلے اور ماحول کی خصوصیات ہیں — وہ ترتیب جو ایک براؤزر ظاہر کرتا ہے، جسے ایک پروفائل میں مرتب کیا جاتا ہے۔ تنہا یہ کمزور ہے اور بہت سے صارفین میں مشترک ہے، مگر طرزِ عمل کے ساتھ ملا کر یہ کافی تیز ہو جاتی ہے۔

سب سے اہم ڈیزائن فیصلہ وہ ہے جو Tracio جان بوجھ کر *نہیں* کرتا۔ یہ ایسی پروفائل نہیں بناتا جو کسی شخص کا ایک سائٹ سے دوسری سائٹ تک پیچھا کرے۔ کوئی کراس-سائٹ شناختی گراف نہیں، اشتہار نیٹ ورکوں کو بیچی گئی کوئی مشترکہ ID نہیں۔ اشارہ ایک ہی کاروبار کے اپنے سیاق میں رہتا ہے، اُسی کاروبار کے اپنے سوالوں کا جواب دیتا ہے — کیا یہ سیشن خطرناک ہے، کیا یہ بوٹ ہے، کیا یہ وہی لوٹنے والا صارف ہے جس کا یہ دعویٰ کرتا ہے — اور اس سے زیادہ کچھ نہیں۔ یہی وہ چیز ہے جو اسے پریس ریلیز کے بجائے ڈیزائن کے اعتبار سے پرائیویسی کا احترام کرنے والا بناتی ہے۔ یہ آؤٹ آف دی باکس GDPR اور CCPA کے مطابق ہے، ٹھیک اسی لیے کہ ملانے کے لیے کوئی کراس-سائٹ ٹریکنگ ہے ہی نہیں۔

اصل امتحان بوٹ ہیں

اینالٹکس غلطیاں معاف کر دیتی ہے؛ فراڈ نہیں کرتا۔ جہاں کوکی-فری طریقے کو خود کو ثابت کرنا پڑتا ہے وہ ایک حریف کے مقابل ہے، اور اُس حریف کا سب سے تیز روپ نفیس بوٹ ہے — ایک ہیڈ لیس براؤزر یا آٹومیشن فریم ورک جو خاص طور پر انسان جیسا دِکھنے کے لیے بنایا گیا ہو۔

یہیں طرزِ عمل فنگر پرنٹنگ کو مات دیتا ہے۔ ایک بوٹ user agent جعلی بنا سکتا ہے، اسکرین ریزولوشن کا سوانگ رچا سکتا ہے، اور دن بھر IP پتے بدلتا رہ سکتا ہے۔ جسے جعلی بنانا اس کے لیے مشکل ہے وہ انسانی تعامل کی بناوٹ ہے: قدرے بے ترتیب وقت بندی، ناقص ماؤس کے راستے، کلک سے پہلے کی جھجک۔ اصول پر مبنی نظام یہ دیکھتے ہیں کہ کوئی سیشن کیا ہونے کا *دعویٰ* کرتا ہے اور آسانی سے دھوکا کھا جاتے ہیں۔ Tracio یہ سکور کرتا ہے کہ کوئی سیشن دراصل کیا *کرتا* ہے، اور یہ نشانیاں جعلی بنانا کہیں زیادہ مشکل ہیں۔ یہی طرزِ عمل کی برتری بوٹ-نشاندہی کی درستی کو اُس ٹریفک کے مقابل 99.2% تک لے جاتی ہے جو اصلی معلوم ہونے کے لیے تیار کی گئی ہو۔

فراڈ کی نشاندہی بھی اسی طرح، ایک تہ اوپر، کام کرتی ہے۔ ایک دو-حالتی اجازت/بلاک کے بجائے، ہر سیشن کو طرزِ عمل کی بے قاعدگیوں سے بنا ایک رسک سکور ملتا ہے — ایسا تعامل پیٹرن جو اُس لوٹنے والے صارف سے میل نہ کھائے جس کا یہ دعویٰ کر رہا ہے، ایسا آہنگ جو سکرپٹڈ لگے، آلے اور طرزِ عمل کی عدم مطابقت۔ یہی سکور وہ اشارہ ہے جس پر کوئی فراڈ ٹیم عمل کرتی ہے، اور یہ اُن اکاؤنٹس کو پکڑتا ہے جو ہر اصول پر مبنی جانچ پاس کر جاتے ہیں کیونکہ کاغذ پر اُن کے بارے میں کچھ غلط نہیں ہوتا۔

انضمام کیسا نظر آتا ہے

نیچے موجود ساری مشینری کے باوجود، ڈیویلپر کے لیے سطح جان بوجھ کر چھوٹی ہے۔ Tracio، JavaScript، Python، Node.js اور Go کے لیے SDKs فراہم کرتا ہے، اور عام صورت ایک ہی کال ہوتی ہے جو شناخت کا تعیّن، بوٹ کا فیصلہ اور رسک سکور ایک ساتھ لوٹاتی ہے۔

import { Tracio } from "@tracio/node";

const tracio = new Tracio(process.env.TRACIO_KEY);

const result = await tracio.evaluate({ sessionId, signals });
// {
//   returningUser: true,
//   isBot: false,
//   riskScore: 0.08   // 0 = trusted, 1 = hostile
// }

if (result.isBot || result.riskScore > 0.8) {
  return challenge();
}

جواب 100 ملی سیکنڈ سے کم میں واپس آتا ہے، اور یہی وہ عدد ہے جو طے کرتا ہے کہ کیا یہ کسی لاگ اِن یا چیک آؤٹ راستے میں سُست حصہ بنے بغیر بیٹھ سکتا ہے۔ کراس-ڈیوائس شناخت اسی تشخیص پر سوار ہوتی ہے — کوئی لوٹنے والا صارف اس سے پہچانا جاتا ہے کہ وہ کیسے برتاؤ کرتا ہے، سو یہ کسی نئے براؤزر یا نئے آلے پر بھی ٹِکا رہتا ہے، جہاں کوئی کوکی کبھی نہ ٹِک پاتی۔

اُس دنیا کے لیے تعمیر جو پہلے ہی یہاں ہے

کوکی کے بعد کا ویب اب کوئی پیش گوئی نہیں؛ یہ وہ ماحول ہے جس میں آپ آج کام روانہ کر رہے ہیں۔ جو ٹیمیں اسے محض پرائیویسی کی کہانی سمجھتی ہیں، وہ حیران رہ جائیں گی جب اُن کے فراڈ کے شرح چڑھیں گے اور اُن کی بوٹ ٹریفک اوجھل ہو جائے گی۔ جو اشارے کوکیز اٹھائے پھرتی تھیں اُن کا جواب اب بھی درکار ہے — بس آپ اُن کا جواب اب صارف پر کچھ ذخیرہ کر کے نہیں دے سکتے۔

Tracio کی شرط یہ ہے کہ طرزِ عمل ذخیرے سے کہیں بہتر بنیاد ہے: جعلی بنانا زیادہ مشکل، ایسے آلے سے چرانا ناممکن جس پر کچھ رکھا ہی نہیں، اور پرائیویسی کے بارے میں دیانت دار کیونکہ واقعی کوئی چیز صارف کا پیچھا نہیں کرتی۔ یہ کوکی کی موت کا کوئی جگاڑ نہیں۔ یہ وہ ہے جو شروع سے ہی جواب ہونا چاہیے تھا۔