Что такое отслеживание в URL
URL — это не просто строка, указывающая местоположение веб-страницы.
URL может содержать не только информацию о том, какую страницу открыть, но и о том, из какой рекламы пришел посетитель, по какому посту в социальной сети был совершен переход или для какого пользователя была выдана ссылка.
Даже если в URL не написаны имя или адрес электронной почты, оставшиеся параметры могут стать подсказками об источнике перехода, поисковых словах, кампании, click ID, реферере или информации о сессии.
Когда речь идет об анонимности, опасно проверять только текст и изображения, а затем вставлять URL для публикации как есть.
В этой статье разобрано, что такое отслеживание в URL, какие части URL нужно проверять и как принимать решение перед публикацией.
Что такое отслеживание в URL
Отслеживание в URL — это механизм, который использует информацию, добавленную к URL, для измерения источников доступа и поведения пользователей.
Например, реклама, почтовые рассылки, посты в социальных сетях, партнерские ссылки и страницы кампаний могут добавлять дополнительную информацию в конец URL.
Эта дополнительная информация часто помещается после ? в URL.
Пример:
https://example.com/article?utm_source=newsletter&utm_campaign=spring
Часть после ? называется строкой запроса. В строке запроса могут быть условия поиска, номера страниц, идентификаторы товаров, click IDs, рекламные идентификаторы, идентификаторы рефереров и похожие значения.
Для операторов сайтов отслеживание в URL используется для аналитики посещений и измерения эффективности рекламы.
Однако с точки зрения анонимности оно может стать подсказкой о человеке, который поделился URL, или о маршруте, по которому по ссылке перешли.
На какую часть URL смотреть
При проверке URL важно не воспринимать его целиком как один блок.
URL содержит части с разным смыслом.
| Часть | Пример | Что проверять для анонимности |
|---|---|---|
| Домен | sample.test | Показывает, к какому сайту будет выполнено подключение |
| Путь | /article/network | Показывает, какая страница или функция откроется |
| Строка запроса | ?id=123&utm_source=sns | Может содержать поисковые слова, идентификаторы или информацию отслеживания |
| Имя параметра | utm_source, ref, gclid | Подсказка для определения типа информации |
| Значение параметра | newsletter, abc123 | Может указывать источник перехода, индивидуальный ID или кампанию |
| Фрагмент | #section | В обычных HTTP-запросах часто не отправляется на сервер |
Особое внимание нужно уделять строке запроса.
Не всякая строка запроса опасна. Страницам результатов поиска и страницам товаров могут быть нужны значения, чтобы правильно отобразить страницу.
С другой стороны, к URL могут быть добавлены параметры отслеживания, не нужные для публикации.
Важно разделять вопросы: «откроется ли страница без этого значения?» и «предназначено ли это значение для идентификации кого-либо?».
Распространенные параметры отслеживания
У значений, часто встречающихся в отслеживании URL, есть определенные шаблоны.
| Тип | Примеры | Смысл |
|---|---|---|
| UTM | utm_source, utm_medium, utm_campaign | Измеряет источник перехода, канал и кампанию |
| Ad click ID | gclid, fbclid, msclkid | Идентифицирует клики по рекламе или в социальных сетях |
| Реферер | ref, referrer, source | Показывает, откуда пришел человек |
| Партнерская ссылка | affiliate, aff, partner | Показывает рекомендателя или партнерский источник |
| ID для публикации | share, invite, campaign_id | Может показывать ссылки для публикации или маршруты приглашения |
| Значение, похожее на сессию | session, sid, token | Может быть близко к индивидуальному состоянию или аутентификации |
Некоторые значения, например UTM и click IDs, явно предназначены для отслеживания.
С другой стороны, по одному только имени нельзя судить о таких значениях, как id или token. id может быть идентификатором статьи, а может быть идентификатором, выданным каждому пользователю.
Не стоит относиться к неизвестным значениям как к «скорее всего безопасным».
Ошибки при публикации URL
Ошибки, связанные с отслеживанием в URL, не обязательно происходят из-за технически сложных атак.
Во многих случаях достаточно просто вставить скопированный URL как есть.
| Ошибка | Что происходит |
|---|---|
| Публикация рекламного URL как есть | Остаются ad click ID или информация кампании |
| Вставка ссылки из письма как есть | Может остаться идентифицирующая информация для доставки почты |
| Публикация URL результатов поиска | В URL могут остаться поисковые слова или условия поиска |
| Публикация URL после входа в аккаунт | Может смешаться информация сессии или индивидуального экрана |
| Публикация короткой ссылки без раскрытия | Нельзя проверить промежуточный переход и наличие отслеживания |
Например, предположим, что человек рекомендует статью с анонимного аккаунта.
В тексте он не пишет персональные данные. Однако если во вставленном URL остался ID почтовой доставки или ad click ID, это становится материалом, показывающим, каким маршрутом он получил ссылку.
Одно это не обязательно раскрывает настоящее имя.
Однако в сочетании со временем публикации, аккаунтом, cookies, состоянием входа и журналами доступа это усиливает впечатление, что речь идет об одном и том же человеке.
В анонимности важно не относиться к таким маленьким подсказкам легкомысленно.
Значения, которые можно удалить, и значения, которые нельзя удалять
Параметры URL нельзя просто удалять все подряд.
Некоторые значения нужны, чтобы страница открылась правильно.
| Тип | Как обращаться | Причина |
|---|---|---|
| utm_source и похожие | Часто можно удалить | Часто используются для аналитики и не нужны для отображения страницы |
| gclid, fbclid и похожие | Часто можно удалить | Часто используются для измерения кликов по рекламе или в социальных сетях |
| ref, affiliate и похожие | Проверять содержание | Могут быть связаны с реферальной информацией или учетом дохода |
| page, q, id и похожие | Проверять осторожно | Могут быть необходимы для отображения страницы или условий поиска |
| token, sid, session и похожие | Предпочитать не публиковать | Могут быть близко к индивидуальному состоянию или аутентификации |
Базовый критерий прост.
Если после удаления открывается та же страница, значение может быть не нужно для публикации.
Если удаление ведет на другую страницу, меняет результаты поиска или убирает необходимую информацию, это значение связано с содержимым страницы.
Однако URL со значениями вроде token или session в принципе плохо подходят для публичной публикации.
Вместо того чтобы очищать такой URL, безопаснее найти отдельную официальную ссылку для публикации.
Процедура проверки перед публикацией
Перед публикацией URL проверяйте в следующем порядке.
| Порядок | Что проверить | Причина |
|---|---|---|
| 1 | Проверить URL целиком | Посмотреть, нет ли лишней информации после ? |
| 2 | Найти параметры, похожие на отслеживание | Проверить utm, gclid, fbclid, ref и похожие значения |
| 3 | Классифицировать неизвестные значения | Разделить значения, нужные для отображения, и значения, похожие на идентификаторы |
| 4 | Открыть URL заново после удаления | Убедиться, что показывается то же содержимое |
| 5 | Если ссылка короткая, раскрыть ее | Проверить конечный адрес и промежуточные переходы |
По возможности проверяйте без входа в аккаунт или в отдельном браузере.
Если проверять в обычном браузере, cookies и состояние входа могут привести к публикации URL, который «открывается у вас, но не открывается у других».
Для анонимного использования даже одна проверка в отдельной среде перед публикацией может снизить количество ошибок.
Один URL не определяет анонимность
Даже если очистить URL, само по себе это не делает вас анонимным.
URL — это одна подсказка.
В той же публикации также имеют значение текст, изображения, время публикации, аккаунт, маршрут связи, состояние входа и прошлые публикации.
Например, даже если удалить параметры отслеживания из URL, публикация из аккаунта с настоящим именем ослабляет анонимность.
И наоборот, даже если использовать или , если в опубликованном URL остался индивидуальный ID, корреляция может произойти в месте, отдельном от сетевых мер защиты.
Проверка URL — это один процесс внутри анонимности в целом.
Итог
Отслеживание в URL — это механизм, который использует параметры внутри URL для измерения источников доступа и поведения.
UTM, click IDs, реферальные коды, короткие ссылки и перенаправления могут стать подсказками об источнике публикации или маршруте перехода.
Когда речь идет об анонимности, проверяйте не только текст и изображения, но и URL, которым делитесь.
Важно разделять значения, которые можно удалить, и значения, которые нельзя удалять. Параметры отслеживания часто можно удалить, тогда как значения вроде поисковых слов и page ID могут быть необходимы для отображения.
Если остается неизвестное значение, не считайте его безопасным. Отложите публикацию, найдите другую официальную ссылку или проверьте в отдельной среде.
URL выглядит как небольшая строка.
Но в анонимности эта небольшая строка может показать маршрут действия.