Mercado Libre, 18 ülkede faaliyet gösteren Latin Amerika'nın lider e-ticaret platformudur. 100 milyondan fazla etkin kullanıcısı ve pazar yeri, ödemeler (Mercado Pago) ve lojistik gibi çeşitli hizmetler sunan karmaşık bir dijital altyapıya sahipler.
Mercado Libre'nin 40'tan fazla alanı var. Bunlardan çoğu, siteler arası kullanıcı kimlik doğrulaması ve sahtekarlık algılama gibi özellikleri etkinleştirmek için geçmişte üçüncü taraf çerezlerine güveniyordu.
Mercado Libre, üçüncü taraf çerezlerine ihtiyaç duyabilecek kritik kullanıcı deneyimlerini ve işlevlerini belirlemek için kapsamlı bir çalışma yürüttü. Üçüncü taraf çerezlerine alternatifler (ör. Privacy Sandbox API'leri) hakkında araştırma yapıp bunları uygulamak, mülklerinin beklendiği gibi çalışmasını ve üçüncü taraf çerezleri kullanılıp kullanılmadığına bakılmaksızın kullanıcılara olumlu bir deneyim sunmaya devam etmesini sağlar.
Mercado Libre'nin üçüncü taraf çerezlerine olan bağımlılığını azaltma ve müşterilerinin gizliliğini koruma yolculuğu hakkında bilgi edinmek için okumaya devam edin.
Çerez denetimi ve etki değerlendirmesi
Mercado Libre, üçüncü taraf çerez kullanımının üç yönünü dikkate aldı:
- Mercado Libre, alanları arasında siteler arası çerez paylaşımına güveniyor mu?
- Üçüncü taraf olarak sağladıkları hizmetler üçüncü taraf çerezlerine bağlı mı?
- Üçüncü taraf çerezleri kullanılamadığında, kullandıkları üçüncü taraf hizmetlerinden herhangi biri etkilenecek mi?
Bu ölçekte dijital mülkler için üçüncü taraf çerez kullanımının etkisini değerlendirmek, birçok iş birimi olduğu için koordineli bir yaklaşım gerektiriyordu.
Mercado Libre kullanıcı arayüzü platform ekibi, bir etki denetimi yürüttü ve diğer ekiplere merkezi bir iletişim ve destek sağladı. Bu kapsamda, tüm ekiplerin yeni uygulamaları benimsemesi için gerekli değişikliklerin şirket genelinde anlaşılmasını sağlamak amacıyla kaynaklar ve eğitimler de sağlandı.
Siteler arası çerez paylaşımı kullanım alanları
Mercado Libre'nin iş birimlerinin her biri mercadolibre.com, mercadopago.com ve mercadoshops.com gibi ayrı alanlarda çalışır.
Ayrıntılı bir denetim gerçekleştirerek siteler arası çerez paylaşımının ekosistemlerindeki kullanıcı deneyimleri için hangi noktalarda kritik olduğunu tespit ettiler:
- Kullanıcı kimlik doğrulaması: 18 ülkedeki 75 milyon aylık etkin alıcıdan bir kısmının deneyiminde olası kesinti.
- Dahili analizler: 4.000'den fazla iş analisti,karar verme sürecinde siteler arası verilerden yararlanır. Kullanıcı yolculuğu takibi üzerinde olası etki.
- Dolandırıcılık önleme: Üçüncü taraf çerezleri kullanılamadığında güvenli ödeme akışları için hayati önem taşır (Mercado Libre için saniyede 50'den fazla satın alma işlemi, Mercado Pago için saniyede 244 işlem).
Bu kapsamlı analizde ekip, sahip, işletme üzerindeki etki, kullanım alanı açıklaması, mevcut davranış, olası kesinti ve önerilen Özel Korumalı Alan çözümü gibi bilgiler yer aldı.
Mercado Libre'de bölümlendirilmiş çerezler
CHIPS olarak da bilinen bölümlendirilmiş çerezler, geliştiricilerin bir çerezi bölümlendirilmiş depolama alanına eklemesine olanak tanır. Bu durumda, üst düzey site başına ayrı çerez kapları bulunur.
Üçüncü taraf çerezleri olmadan sahtekarlık algılamasına izin vermek için CHIPS'i kullanma
Zorluk
Mercado Libre, hem doğrudan platformda yapılan ödemeler hem de ödeme işleyici olarak Mercado Pago'yu kullanan şeffaf entegrasyonlar için ödeme platformlarına erişen kullanıcılara sorunsuz bir deneyim sunmak amacıyla üçüncü taraf çerezleri kullanır. Örneğin, bir kredi kartının kullanıcının bildiği bir cihazdan kullanıldığını tespit etmeye ve böylece kredi kartı sahtekarlığını önlemeye yardımcı olan mekanizmalarda üçüncü taraf çerezleri kullanılır.
Cihaz bilgileri, Mercado Libre'nin makine öğrenimi modelleri tarafından bir ödemenin onaylanıp onaylanmayacağına karar vermek için kullanılan ana veri sinyallerinden biridir. Bu nedenle, kayda değer sayıda kullanıcı için bu bilgilere sahip olmamak, ödeme onay oranlarında önemli bir kayıp anlamına gelebilir.
Çözüm
Mercado Libre, üçüncü taraf çerezlerinin sınırlamalarını gidermek için ödeme platformuyla entegre edilen her web sitesi için benzersiz bir çerez ayarlayan CHIPS çözümünü test etti. Amaç, Mercado Libre'nin her mağaza için çeşitli bilgiler tutmasını sağlamaktır.
Bu durumda CHIPS, Mercado Libre'nin üçüncü taraf çerezleri engellendiğinde bile geri gelen müşterilere sorunsuz ve verimli bir deneyim sunmasına yardımcı oldu.
Teknik ayrıntılı inceleme
Mercado Pago'yu ödeme işleyici olarak kullanmak için en yaygın entegrasyon yöntemi, hem kart verisi jeton oluşturma modülü hem de sahtekarlığı önleme modülü içeren JavaScript'i kullanmaktır. Sahtekarlık önleme modülü, ödemeleri kullanıcıların cihazlarına bağlamak için üçüncü taraf çerezlerini kullanır.
Geçmişte Mercado Pago, üçüncü taraf çerezleri kullanarak aşağıdaki şemada gösterildiği gibi kullanıcıların mağazalardaki cihazlarını tanımlayabiliyor ve izleyebiliyordu.
Günümüzde, bölümlendirilmiş çerezler, Mercado Libre'nin her üst düzey site için ayrı bir çerez ayarlayarak cihaz tanımlamasını sürdürmesini sağlıyor. Aşağıdaki resimde gösterildiği gibi, bu yaklaşım, bilgilerin mağazalar arasında paylaşılmasını kısıtladığı için gizliliği korur. Üçüncü taraf çerezleri kullanılamadığında bölümlenmiş çerezler kullanılır. Bu, mağazalar arasında bilgi paylaşımını kısıtlayarak kullanıcı gizliliğini iyileştirir.
Erken gelişim
Öncelikle Mercado Libre, Chrome'da üçüncü taraf çerezlerini devre dışı bıraktı ve çerezlerinin, Mercado Libre'nin üçüncü taraf sağlayıcı olarak hizmet verdiği sitelerde başarıyla ayarlanmadığını doğruladı. Ardından Mercado Libre, bu çerezleri bölümlendirilecek şekilde güncelledi. Bu değişiklik sayesinde, kullanıcı üçüncü taraf çerezlerini devre dışı bırakmış olsa bile Chrome'da bölümlenmiş çerezlerin ayarlanabileceğini doğrulayabildiler. Ardından Mercado Libre, CHIPS güvenlik tasarımı talimatlarını uygulayarak Set-Cookie başlığını ekledi ve herhangi bir hatayla karşılaşmadı.
İşletme verimliliği
Mercado Libre, Mercado Pago entegrasyonları ve özel alan adlarına sahip Mercado Mağazaları için CHIPS'i kullanmaya başladı. Mercado Libre artık kullanıcılarının cihazlarında standart bir bölümlenmemiş çerezin yanı sıra ek bir bölümlenmiş çerez de depolıyor.
Mercado Libre için CHIPS'i uygulamak kolay oldu.
CHIPS'in makine öğrenimi sahtekarlık modellerindeki etkinliğini test etme
Mercado Libre, üçüncü taraf çerezlerinin engellendiği bir senaryoyu simüle etmek için kontrol grubu için standart bölümlenmemiş çerez sinyalini göndermeyi durdurmayı ve bunun yerine bölümlenmiş (CHIPS) çerezleri kullanmayı planlıyor. Başlangıçta bu kontrol grubu, bir sitenin nüfusunun bir payını içerecek. Mercado Libre, etkiyi test ederken sitelerin payını ve sayısını kademeli olarak artırmayı planlıyor.
Etkinlik, kontrol grubunun ödeme onayına göre önceki benzer bir dönemle karşılaştırılır.
Önceki denemeler
Mercado Libre, bölümlenmemiş çerezler yerine CHIPS'i kullanarak aynı cihazları tanımlayıp cihazın yaşını (çerez) ölçüp ölçemeyeceklerini kontrol etmek için bir kontrol grubunda benzer bir deneme gerçekleştirdi.
Kontrol grubu, Arjantin ve Brezilya'da hedeflenen satıcılardan oluşuyordu. Her iki grup da aynı şekilde davranıyordu.
Sonuç olarak Mercado Libre, CHIPS kullanan cihazların yaklaşık% 70'inin kimliğini doğrulayabildi. Bu da kalan% 30'un yeni kullanıcılar veya beklenmedik davranış gösteren kullanıcılar olduğu anlamına geliyor.
CHIPS uygulama sonucu
Mercado Libre, gizlilik ve minimum kullanıcı deneyimi arasında bir denge kurmak zorunda olsa bile kullanıcı gizliliğini korumaya kararlıdır. CHIPS'in uygulanması kolaydı ve bu değişimin aynı sitedeki etkisini en aza indirmeye yardımcı oldu. Mercado Libre, deneyimdeki boşluğu tamamen kapatabilecek ve böylece gizlilik ile işlevselliğin ikisini de sunabilecek Private State Tokens gibi diğer Özel Korumalı Alan çözümlerini de keşfetmeye devam ediyor.
Mercado Libre'de İlişkili Web Sitesi Grupları
İlgili Web Sitesi Kümeleri (RWS), bir şirketin siteler arasındaki ilişkileri belirtmesi için kullanılan bir yöntemdir. Bu sayede tarayıcılar, üçüncü taraf çerezlerinin belirli amaçlar doğrultusunda sınırlı şekilde erişmesine izin verebilir.
Analiz özelliklerini korumak için İlgili Web Sitesi Gruplarını kullanma
Zorluk
Yeni bir cihaz, Mercado Libre'nin sahip olduğu ve işlettiği (O&O) alanlardan birine girdiğinde Meli, cihazın mercadolibre.com ve mercadopago.com gibi çeşitli alanlardaki etkinliğini anlamak için bir çerez kullanır.
Çözüm
Üçüncü taraf çerezlerinin kullanılamadığı durumları ele almak için Mercado Libre, birincil alan ve tek bir setteki diğer beş ilişkili alanın kısıtlamasına uyarak üçüncü taraf çerezlerinin kullanıldığı müşteriye yönelik tüm alanları için RWS'yi uyguladı.
Teknik ayrıntılı inceleme: Dahil edilecek doğru alanları bulma
Hangi alanların gruba dahil edileceği araştırılırken Mercado Libre, alan adlarının çoğunda artık kullanılmayan eski çerezler olduğunu tespit etti. Bu alanlar gruptan hariç tutuldu.
Web ön uç platform ekibi, Mercado Libre'nin ilgili web sitesi gruplarının oluşturulmasından ve yönetilmesinden sorumluydu. (Tam seti İlgili Web Sitesi Grubu GitHub deposunda bulabilirsiniz.)
{
"contact": "infraestructura@mercadolibre.com",
"primary": "https://mercadolibre.com",
"associatedSites": [
"https://mercadolivre.com",
...
],
"rationaleBySite": {
"https://mercadolivre.com": "Mercado Libre in Brazil",
...
},
"ccTLDs": {
"https://mercadolibre.com": [
"https://mercadolibre.com.ar",
...
],
"https://mercadolivre.com": [
"https://mercadolivre.com.br"
],
...
}
},
Gönderim onaylandıktan sonra setin üretimde yayınlanması yalnızca iki hafta sürdü.
Storage Access API ile O&O alanlarında üçüncü taraf çerezlerinin çoğaltılması
Şartlar
Sunucunun çerez ayarlayabilmesi için CORS'u desteklemesi, isteklerin kaynakta çapraz olması ve kimlik bilgilerini içermesi gerekir:
res.setHeader('Access-Control-Allow-Credentials', 'true');
res.setHeader('Access-Control-Allow-Origin', `${req.headers.origin}`);
Çerezler şu şekilde yapılandırılmalıdır:
SecureSameSite=None
Üçüncü taraf çerezleri varsayılan olarak kullanılamadığında istemcinin, navigator.permissions.query() kullanarak bölümlenmemiş çerezlere erişme izni olup olmadığını kontrol etmesi ve ardından requestStorageAccessFor() kullanarak her yerleşik alan için depolama alanı erişim izinleri istemesi gerekir. Ayrıca, kullanıcı aracısının izni ilk kez başarıyla istemesi için kullanıcının ekranla etkileşime geçmesi (ör. tıklama veya klavye işlemi) gerekir.
RWS ile ilgili zorlukların üstesinden gelme
Resim pikselleri ve Depolama Erişimi API'sinin kullanılması gibi mevcut çerez dağıtım süreçleri, kullanıcı etkileşimi gerektirmesi nedeniyle sınırlamalarla karşı karşıya kalıyordu. Mercado Libre'nin alanlar arasında kullanıcıya kalıcı girişi de bu durumdan etkilendi. Kullanıcılar üçüncü taraf çerezlerini devre dışı bıraktığında bu giriş kesintiye uğradı.
İlgili web sitesi grupları ve Özel Korumalı Alan teknolojileri üçüncü taraf çerezleri için bire bir değişim sunmak üzere tasarlanmamıştır ve bazı kullanım alanlarını desteklemeyebilir:
Resim pikselleri
- Mercado Libre,
crossorigin="use-credentials"özelliğini ekleyebilir. Ancak kullanıcı etkileşimine (kullanıcıların bir bağlantıyı tıklaması) bağlılık, Mercado Libre'nin çerezin ayarlanmasını sağlayamayacağı anlamına gelir. Ekranlar arasında gezinme varsa pikseller de iptal edilir: Chrome, gezinme algıladığında yeni sayfayı yüklemeye başlamak için geçerli sayfadaki tüm kaynak isteklerini iptal eder.
- Mercado Libre,
sendBeacon()crossoriginyapılandırılamadığı için istekler başarısız olur ve çerezler gönderilmez.
sendBeacon()veya resim pikseli içeren yönlendirmeler- Bunlar kullanıcı etkileşimine bağlı olduğundan, JavaScript çalıştıran farklı alanlar arasındaki ara ekranlara yönlendirmeler aracılığıyla çerez ayarlamak mümkün değildir.
Web Görünümü sınırlaması
Permissions API, WebView'de kullanılamaz. Bu durum, Mercado Libre'yi Storage Access API'nin yalnızca Permissions API'nin kullanılabildiği yerlerde (WebView hariç her yerde) başlatıldığı bir mantık uygulamaya zorladı. Ayrıca requestStorageAccessFor(), Safari veya Firefox tarafından şu anda desteklenmemektedir.
Mercado Libre, platformdan bağımsız olarak gerektiğinde özellik algılama özelliğini kullanmaya devam etmektedir.
Herkese uygun çözüm
Mercado Libre'nin fetch() ve {keepalive: true, credentials: 'include'} kullanması gerekiyordu. Bu sayede CORS'u yapılandırabilir, kimlik bilgilerini ekleyebilir ve isteklerin tarayıcı tarafından iptal edilmeden arka planda gönderilmesini sağlayabilirler.
fetch(domain, {
keepalive: true,
credentials: 'include',
});
// or
fetch(domain, {
method: 'POST'
body: data,
keepalive: true,
credentials: 'include',
});
Tam örnek:
const TP_DOMAINS = ['https://mercadolibre.com',
'https://www.mercadoshops.com.ar',
'https://www.mercadopago.com',
'https://www.mercadopago.com.ar'];
if ('requestStorageAccessFor' in document) {
// Check the permission to see if storage access is already available.
let storageAccessPermission = await navigator.permissions.query({
name: 'top-level-storage-access',
requestedOrigin: TP_DOMAINS[0]
})
// If the permission has already been granted, request storage access.
if (storageAccessPermission.state === 'granted') {
requestStorageAccessForDomains();
}
// If the state "prompt" is returned, a storage access request must be triggered by user gesture.
else if (storageAccessPermission.state === 'prompt') {
document.addEventListener('click', requestStorageAccessForDomains, { capture: true });
document.addEventListener('keydown', requestStorageAccessForDomains, { capture: true });
}
} else {
console.log('requestStorageAccessFor is not supported');
}
function requestStorageAccessForDomains() {
// Request storage access for each domain.
TP_DOMAINS.forEach(rSAFor)
// Clean up listeners so they are not called again.
document.removeEventListener('click', requestStorageAccessForDomains);
document.removeEventListener('keydown', requestStorageAccessForDomains);
}
function rSAFor(domain) {
document.requestStorageAccessFor(domain).then(
success => { setCookie(domain); },
err => { console.log('requestStorageAccessFor error: ' + err); }
);
}
function setCookie(domain) {
const url = new URL(domain);
const hostname = url.hostname.split('.').slice(1).join('.');
fetch(domain + '/pixel.gif?name=_d2id&value=DONE&max_age=94608000&domain=.' + hostname, {
keepalive: true,
credentials: 'include',
});
}
Chrome'da test etme
İlgili bir web sitesi grubu, Chrome işareti ayarlanarak yerel olarak test edilebilir. Örneğin, related-website-sets.glitch.me adresindeki demo için:
--use-related-website-set="{\"primary\": \"https://related-website-sets.glitch.me\", \"associatedSites\": [\"https://rws-member-1.glitch.me\"]}"
https://related-website-sets.glitch.me/
RWS uygulama sonucu
Büyük ölçekli siteler için RWS'nin uygulanması basit bir işlem değildir. Mercado Libre'nin yalnızca tek bir geliştiricinin kaynaklarına ihtiyacı vardı ancak 18 ülkede kullanıma sunma süreci baştan sona yaklaşık üç ay sürdü.
RWS'yi uygulamak isteyenler için önerimiz: Erken başlayın. RWS'yi uygulamak için beklemeyin. Mercado Libre, sunucu ve istemci tarafındaki çerezleri değiştirmek, yeni üstbilgi eklemek, arka uçta değişiklik yapmak ve JavaScript'i güncellemek zorunda kaldı.
Son sözler ve sonraki adımlar
Mercado Libre'nin Özel Korumalı Alan API'lerini başarılı bir şekilde uygulaması, değişen gizlilik ortamına uyum sağlama konusundaki kararlılığını gösterdi. Mercado Libre, üçüncü taraf çerez kullanımını proaktif olarak test edip ele alarak kullanıcı gizliliğini artırırken ve değişen düzenlemelere uygunluğu sağlarken analiz ve sahtekarlığı önleme gibi kritik işletme işlevlerini sürdürdü. Bu örnek olay, üçüncü taraf çerezlerinin kullanılamayabileceği bir geleceğe geçişte yol almak isteyen kuruluşlar için değerli bilgiler sunar.