Apple hat gestern auf dem WebKit Blog ein Update zum Intelligent Tracking Prevention Feature bekanntgegeben. Mit der neuen Version ITP 2.2 geht das Katz und Maus Spiel zwischen Apple und der Werbeindustrie weiter: 1st Party Tracking Cookies von Drittanbietern werden nur noch maximal 24 Stunden gespeichert.
Von diesem Update sind hauptsächlich Werbeplattformen betroffen, die eine sogenannte Click-ID als URL Parameter an die Landing-Page URL hängen (beispielsweise Google Ads, Facebook oder auch Google Campaign Manager). Falls ITP erkennt, dass eine derartige Click-ID vorhanden ist, so wird diese nur noch maximal 24h als 1st Party Cookie gespeichert. Viele Werbeplattformen hatten - unter anderem als Reaktion auf die erste Version von ITP - auf ein Verfahren mit Click-ID URL Parameter und einer Zwischenspeicherung in einem 1st Party Cookie umgestellt, um Probleme mit blockierten 3rd Party Cookies zu umgehen.
Im offiziellen Blog-Eintrag klingt es so, als würde Apple mit dem Update nur das Cross-Site Tracking einschränken wollen. Das stimmt aber in diesem Fall nicht ganz, denn das Update hat auch zur Folge, dass man mit den plattform-eigenen Tracking Systemen keine Auswertungen mehr zu Conversions durchführen kann, die nach einem Zeitraum von 24h nach dem Klick erfolgen (ohne weitere technische Anpassung).
Eine relativ einfache technische Lösung um die ITP 2.2 Tracking Protection zu umgehen, liegt darin, die Click-ID Cookie-Werte in einem serverseitigen HTTP-only, secure Cookie zwischenzuspeichern und bei jedem Aufruf wiederherzustellen. Die gleiche Lösung funktioniert auch, um die bereits zuvor bei ITP 2.1 vorhandene generelle Limitierung von 1st Party Cookies auf 7 Tage zu umgehen (z.B. für den Google Analytics _ga Cookie).