Большое количество пользователей не присылают установленные куки

Question

[Александр Колобов]

Пишу скрипт вывода рекламного баннера на сайт вебмастера. Процесс вывода баннера происходит приблизительно так:

— запрашивается скрипт с моего сайта который создает фрейм на адрес /place.php?param=value… моего сайта
— сервер создает cookie с уникальным именем и вешает их юезеру в ответ на запрос + возвращает код фрейма
— код фрейма собирает необходимые мне данные и выполняет ajax get запрос на адрес /place.php (всегда без параметров — данные пересылаются в кастомных заголовках вида X-Name-Value, так же передается и имя навешанной куки)
— сервер получает этот запрос и пытается прочитать куку по полученному имени.

Вот тут то и возникает проблема. У большого количества юзеров (порядка 12%) сервер при получении ajax get запроса не видит вообще никаких кук. Тобеж не только не видит куку по заданному имени но и массив $_COOKIE пустой. При этом у остальных юзеров все отрабатывает нормально.

Я никак не могу поверить что у 12% пользователей выключены куки — значит проблема в чем то другом. В чем же? Помогите пожалуйста. Код тестировался на сайте с посещаемостью в 12к уникальных посетителей в день. У почти полутора тысяч пользователей выявлена описанная проблема. Юзерагенты не логировались (увы мне, сейчас же начну), зато есть ip адреса.

Comments

[Александр Колобов]

вот так ставлю куки: setcookie( $uid, $data, time()+86400, "/", «мой-хост.ru»);

Answer 1

[Alexander Kouznetsov]

Ходили по этим граблям :)
Скорее всего имеются проблемы с двумя браузерами: Safari и IE.
Для IE есть заклинание, которое нужно послать в заголовок. Вот оно:
Headers.Add(«P3P», «CP=\»IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\"")
А вот у сафари по-умолчанию параноидальный режим: не брать куки с третьих сайтов. С этим даже Google боролся и нашел лекарство, а вслед получил иск от Apple :)
Суть лекарства в том, чтобы эмулировать ввод данных пользователем в вашем фрейме, тогда Safari считает ваш сайт дружественным.

Comments

[Александр Колобов]

Спасибо, но разве это получаются third part куки? Вроде как я для своего сайта их вешаю. Если да — то я от кук вообще откажусь в таком случае так как рано или поздно все баннеры начнут их подрезать.

[Alexander Kouznetsov]

Вообще, какая-то логика в таком поведении Сафари имеется: пользователь не запрашивал ваш сайт — значит вы следите за ним без его разрешения, значит нарушаете приватность. Коммерческая идея такого поведения тоже, в общем-то, ясна. А сами яблочники этим очень гордятся:

www.apple.com/safari/features.html
Cookie Blocking
Some companies track the cookies generated by the websites you visit, so they can gather and sell information about your web activity. Safari is the first browser that blocks these tracking cookies by default, better protecting your privacy. Safari accepts cookies only from websites you visit.

Надеюсь, что он останется последним браузером, который так делает.

[Alexander Kouznetsov]

Еще по теме, я не следил, сейчас порыскал по вебу.
Гугл все-таки выплатил Эплу денег www.wired.com/threatlevel/2012/08/ftc-google-cookie/
Дыру в сафари (говорят) все-таки закрыли: stackoverflow.com/questions/9930671/safari-3rd-party-cookie-iframe-trick-no-longer-working

[Alexander Kouznetsov]

И напоследок будут ли другие браузеры их подрезать: с большой вероятностью ни IE ни Chrome — не будут. И Google и MS кормятся с рекламы (MS в меньшей степени, но туда идет), вряд ли они будут резать ветку, на которой сидят.
Opera может по-идее — ее доходы не связаны с рекламой.
FireFox — черт её знает, мне их бизнес не понятен.

[Alexander Kouznetsov]

Ошибся я в предположениях, слава Apple не дала покоя Microsoft.

В IE10 по умолчанию включена отправка заголовка Do Not Track — вроде ни на что не влияет, но информирует приложение не собирать данные о пользователе. В России пока пофиг, а в толерантных странах могут и иск вкатить, если запомните инфу о пользователе.

Answer 2

[StopDesign]

А это может быть результатом работы какой-нибудь популярной баннерорезалки?

Answer 3

[Elendai]

Сорри, вот ссылка с якорем

Comments

[Alexander Kouznetsov]

О как, спасибо, не знал.
Может разрабы бравзеров тоже не знают? :-D

Answer 4

[Leestex]

Пока что есть одна догадка. Быть может, не все браузеры корректно ставят куки, если не указать все параметры в функции setcookie.

Answer 5

[Elendai]

Недавно столкнулся с проблемой в Хроме — то ли не принять, то ли не установить (не помню) куку на другой URI выше по уровню, в рамках одного домена, но не в корень. Т.е. я нахожусь по "/example/com", ставлю куку на "/example", а не тут-то было. Причем в "/" все отлично ставится и считывается.
Возможно у вас как раз Хромисты статистику портят. Проследите за урлами.

Comments

[Alexander Kouznetsov]

А при чем тут пути? Куки ставятся на домен, а не на урл. Вероятно, у вас какая-то проблема с отдачей хэдеров.

[Elendai]

С утра в субботу нельзя лезть в РФЦ, но с трудом ссылка. Ищем [Page 4].

Path=path
Optional. The Path attribute specifies the subset of URLs to
which this cookie applies.

Мне как раз нужно было, чтоб одни и те же куки jstree не путались в различных частях админки, а вот в каталоге (дерево категорий полное и сокращенное для продуктов) по разным урлам — одинаковые.

Answer 6

[Elendai]

Честно говоря, не было времени разбираться в том баг это или фича, но скорее попахивает чрезмерной «безопасностью» у Хрома. Нечего мол ставить туда, куда не положено.
Да и вроде как логично: ребенку тяжело влиять на родителя (подраздел на родительский).

Касаемо сабжа — заинтересовался проблемой (то же такое ждет в ближайшее время), 10 сек гугления и круг замкнулся Хабр, но проблема до конца не решена.

Первая мысль — ставить через js — вызвала усмешку у документации. Значит iframe с формой с autosubmit — наш вариант.

Comments

[Elendai]

Простите. Спросоня второй раз промахиваюсь в «комментировать»

[Alexander Kouznetsov]

А чем плоха кука из js?
В моем проекте она реально спасла ситуацию.

[Elendai]

Кука из js в этом случае — те самые ни чем не прикрытые «третьей вечеринки печеньки».

[Alexander Kouznetsov]

Как раз они совсем свои (даже для сафари) исполнятся они на стороне клиента — иначе нужно вообще весь js со сторонних серверов отключить.

[Alexander Kouznetsov]

Хотя, да. Не для всех задач подойдут…

[Elendai]

По-моему, вы путаете куки и сессию. Сессия ставится на сервере и идентифицируется с помощью куки. Куки же просто браузерная переменная.
Не важно, чем ставить куку, главное — браузер ОТКАЗЫВАЕТСЯ принимать ее для стороннего ресурса.

[Alexander Kouznetsov]

В том и дело, что не путаю.
JS, не важно откуда он был загружен, будет исполняться в пределах текущего домена. И если этот загруженный JS установит куку, то она совершенно спокойно приживется как кука этого домена. Недостатки такого решения имеются, но иногда оно единственное.